Linux: Verificando a data em que um grupo foi criado

1

Existe uma maneira de verificar a data em que um grupo linux foi criado e / ou modificado? Seria ainda melhor se eu conseguisse puxar o último usuário para modificar o grupo.

    
por Bob 30.08.2010 / 21:06

3 respostas

1

Supondo que estamos falando de arquivos locais aqui (não LDAP) e nenhum software de auditoria adicional, você está muito limitado aos metadados de / etc / group; você pode ver quando o arquivo foi modificado pela última vez, mas não por quem ou qual grupo foi afetado.

    
por 30.08.2010 / 21:17
1

Basta olhar em / var / log / secure, criei e modifiquei um grupo como exemplo. Por favor, note que o comando pode não estar relacionado à última sessão aberta, então pode ser difícil dizer quem realmente o fez:
Aug 30 20:38:09 aladdin su: pam_unix(su-l:session): session opened for user root by james(uid=0)
Aug 30 20:38:15 aladdin groupadd[2442]: group added to /etc/group: name=test, GID=501
Aug 30 20:38:15 aladdin groupadd[2442]: group added to /etc/gshadow: name=test
Aug 30 20:38:15 aladdin groupadd[2442]: new group: name=test, GID=501
Aug 30 20:39:03 aladdin groupmod[2450]: group changed in /etc/group (group test/501, new gid: 502)
Aug 30 20:39:03 aladdin groupmod[2450]: group changed in /etc/passwd (group test/501, new gid: 502)
E sim, minha máquina é chamada aladdin - e daí?

    
por 30.08.2010 / 21:40
0

Você pode ver os últimos comandos usando o lastcomm para o qual você precisa ter acct ativado, adicionando o seguinte ao seu script de inicialização:

# Turn process accounting on. 
if [ -x /sbin/accton ]
then 
        /sbin/accton /var/log/pacct 
        echo "Process accounting turned on." 
fi

Para criar o arquivo de registro contábil:

touch /var/log/pacct
chown root /var/log/pacct
chmod 0644 /var/log/pacct

Uma coisa que eu recomendo que você faça é alterar o groupadd e groupdel , movê-lo para outro lugar e criar 2 scripts bash que armazenarão o usuário que o convocou, a hora e o comando e depois disso ele irá chamar os scripts reais para criar os grupos ou apagá-los.

Uma pequena amostra: mv / usr / sbin / groupadd /usr/sbin/new_groupadd

Agora crie um novo /usr/sbin/groupadd com o conteúdo a seguir (não se esqueça de chmod-lo depois que terminar):

#!/bin/bash

echo "'date' - $USER - /usr/sbin/new_groupadd $@" >> /var/log/group_log
/usr/sbin/new_groupadd $@

Crie o arquivo de registro:

touch /var/log/groupadd_log
chown root /var/log/groupadd_log
chmod 0644 /var/log/groupadd_log

Bem apontado por James Lawrie, olhe em / var / log / secure e todos os arquivos são rotacionados (se a entrada já estiver antiga) para saber quando foi a última alteração, mas ela não será listada se você der aos usuários outro, em seguida, acesso root para adicionar grupos.

    
por 30.08.2010 / 21:31

Tags