sudo権限を使用せずにRed HatベースのシステムにciadminというLDAPユーザーを作成しました。とにかく、そのユーザーはsudo権限を持ち、本質的にシステムのルートになることができます。
どのようにこれが起こったのか、誰がそうしたのかを追跡したいと思います。
visudoユーザーciadminが以下のように表示されることを確認しました。誰かがファイルを改ざんしているように見えますが、誰が誰であるかはわかりません。
## Read drop-in files from /etc/sudoers.d (the # here does not mean a comment)
#includedir /etc/sudoers.d
ciadmin ALL=(ALL) NOPASSWD:ALL
ベストアンサー1
/var/log/auth.log
圧縮形式で保存された古いファイルから履歴を確認できます.gz
。これには、ユーザーログインと使用された認証メカニズムを含むシステム認証情報が含まれています。
ファイルは次のように見つけることができます。
$ ls /var/log | grep -i auth
auth.log
auth.log.1
auth.log.2.gz
auth.log.3.gz
auth.log.4.gz
例: ユーザーを作成したばかりのxyz
グループに追加しました。sudo
関連する記録は次のように見つけることができます。
$ cat /var/log/auth.log | grep -i xyz
Dec 18 18:54:51 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/useradd xyz
Dec 18 18:54:51 pandya-desktop useradd[7763]: new group: name=xyz, GID=1002
Dec 18 18:54:51 pandya-desktop useradd[7763]: new user: name=xyz, UID=1002, GID=1002, home=/home/xyz, shell=
Dec 18 18:55:51 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/usermod -a -G group xyz
Dec 18 18:55:57 pandya-desktop sudo: pandya : TTY=pts/2 ; PWD=/home/pandya ; USER=root ; COMMAND=/usr/sbin/usermod -a -G sudo xyz
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to group 'sudo'
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to shadow group 'sudo'
Dec 18 18:55:57 pandya-desktop usermod[7872]: add 'xyz' to group 'sudo'
tpグループに追加されたユーザーの履歴を提供するこの行を表示できます。Dec 18 18:55:57
xyz
sudo