Redhat log linux de qual usuário executou o desligamento

1

Em uma caixa de produção do redhat, alguém acabou de rodar o shutdown e eu preciso encontrar o arquivo de log que mostra especificamente qual usuário executou o comando "shutdown" (e quando seria legal).

    
por Dan Grec 22.11.2011 / 20:44

3 respostas

2

Apenas o root pode executar o encerramento, portanto, esse usuário era root.

Espero que você imponha o uso de sudo para executar comandos raiz. Nesse caso, procure em /var/log/secure para descobrir quem usou sudo shutdown .

    
por 22.11.2011 / 20:47
7

Dependendo de como o comando foi executado, isso pode ser um pouco complicado.

  1. Verifique seus logs do sudo, eles estão usando o sudo certo?!?
  2. Se for executado diretamente como root, veja quem mais estava logado ao mesmo tempo. Usar o arquivo wtmp por meio do comando last pode ser útil.
  3. Se eles fizerem logon remotamente como root, verifique novamente, usando last de qual endereço eles fizeram login e quem estava usando o sistema naquele momento. Além disso, corrija isso para que eles não possam efetuar login remotamente como root.
  4. Se efetuou login pelo console, verifique seus registros de acesso para ver quem teve acesso físico ao sistema no momento.
por 22.11.2011 / 20:47
1

last|head

Espero que não haja muitos administradores conectados ao mesmo tempo que o root.

    
por 22.11.2011 / 20:52

Tags