Если вы предоставили другим пользователям доступ к своему компьютеру и предоставили им доступ к sudo, разумно следить за тем, как они его используют. К счастью, историю sudo легко просмотреть. Посмотрим как.
Журнал аутентификации
Многие службы Linux ведут журналы, чтобы помочь в устранении неполадок. К счастью, среди прочего, он также содержит подробный список именно той информации, которую мы ищем в этой статье. В этом списке вы можете проверить, кто и когда выполнил какую команду с помощью sudo. Чтобы найти эту информацию, если вы используете дистрибутив на основе Debian или Ubuntu, введите следующую inro в свой любимый терминал:
sudonano/var/log/auth.log
В других дистрибутивах расположение может отличаться. Эта информация может быть в "/ var / log / secure" или "/var/log/audit/audit.log". Вы можете найти местоположение этого файла журнала, проверив файл sudoer. Это тоже может быть найдено в другом месте в зависимости от распределения. Обычно его можно найти в "/ etc / sudoers". Откройте его в своем любимом текстовом редакторе и найдите запись в файле журнала. Его значение - это то, где находится файл, который мы ищем, поэтому переделайте команду выше, чтобы вместо этого проверить свой.
Разбираться в хаосе
Файл журнала будет содержать массу записей, которые, вероятно, не представляют интереса. Вы можете прокручивать и прокручивать его или использовать функцию поиска текстового редактора, чтобы найти все случаи использования sudo.
Однако лучше использовать вместо него grep
. Таким образом, вы можете фильтровать содержимое журнала на основе простого запроса. Чтобы найти в нем все записи sudo, используйте:
sudogrepsudo/var/log/auth.log
Не забудьте обновить путь к журналу, указав правильный для вашего дистрибутива.
Эта команда отобразит результаты прямо в вашем терминале.
Если вы предпочитаете, чтобы они были в формате файла, добавьте такое перенаправление после команды, например:
sudogrepsudo/var/log/auth.log > sudolist.txt
Когда вы проверите его, вы найдете серию записей, которые содержат дату, время, имя компьютера и используемую команду.
Обычный Bash
Если вы просто ищете все команды, введенные в терминале, вы можете проверить файл ".bash_history", расположенный в домашней папке. Например, вы можете ввести в терминал следующее:
sudonano/home/USERNAME/.bash_history
Это покажет вам все команды, которые вы (или другие пользователи) запускаете в терминале.
Теперь, когда вы знаете, как проверять историю sudo, вы также можете отключить пароль sudo, если вы единственный пользователь своего ПК, или как получить пароль sudo, чтобы он отображался в виде звездочки.
По теме: