Как проверить историю Sudo в Linux

Проверить чтение истории Sudo Избранные

Если вы предоставили другим пользователям доступ к своему компьютеру и предоставили им доступ к sudo, разумно следить за тем, как они его используют. К счастью, историю sudo легко просмотреть. Посмотрим как.

Журнал аутентификации

Многие службы Linux ведут журналы, чтобы помочь в устранении неполадок. К счастью, среди прочего, он также содержит подробный список именно той информации, которую мы ищем в этой статье. В этом списке вы можете проверить, кто и когда выполнил какую команду с помощью sudo. Чтобы найти эту информацию, если вы используете дистрибутив на основе Debian или Ubuntu, введите следующую inro в свой любимый терминал:

Проверить историю Sudo Nano Authlog

В других дистрибутивах расположение может отличаться. Эта информация может быть в "/ var / log / secure" или "/var/log/audit/audit.log". Вы можете найти местоположение этого файла журнала, проверив файл sudoer. Это тоже может быть найдено в другом месте в зависимости от распределения. Обычно его можно найти в "/ etc / sudoers". Откройте его в своем любимом текстовом редакторе и найдите запись в файле журнала. Его значение - это то, где находится файл, который мы ищем, поэтому переделайте команду выше, чтобы вместо этого проверить свой.

Разбираться в хаосе

Файл журнала будет содержать массу записей, которые, вероятно, не представляют интереса. Вы можете прокручивать и прокручивать его или использовать функцию поиска текстового редактора, чтобы найти все случаи использования sudo.

Проверить историю Sudo, читая Authlog

Однако лучше использовать вместо него grep. Таким образом, вы можете фильтровать содержимое журнала на основе простого запроса. Чтобы найти в нем все записи sudo, используйте:

Не забудьте обновить путь к журналу, указав правильный для вашего дистрибутива.

Проверьте фильтр истории Sudo с помощью Grep

Эта команда отобразит результаты прямо в вашем терминале.

Проверить результаты фильтрации истории Sudo

Если вы предпочитаете, чтобы они были в формате файла, добавьте такое перенаправление после команды, например:

Когда вы проверите его, вы найдете серию записей, которые содержат дату, время, имя компьютера и используемую команду.

Обычный Bash

Если вы просто ищете все команды, введенные в терминале, вы можете проверить файл ".bash_history", расположенный в домашней папке. Например, вы можете ввести в терминал следующее:

Это покажет вам все команды, которые вы (или другие пользователи) запускаете в терминале.

Теперь, когда вы знаете, как проверять историю sudo, вы также можете отключить пароль sudo, если вы единственный пользователь своего ПК, или как получить пароль sudo, чтобы он отображался в виде звездочки.

По теме: