os relatórios padrão do linux su e sudo são usados através do módulo PAM em /var/log/auth.log .
Portanto, a maneira mais fácil é rastrear esse arquivo de log e criar alarmes. Você pode criar apenas um script simples para enviar e-mails ou usar analisadores de arquivos de log (ou seja, logstash, graylog) que podem acionar alarmes.
Aqui estão dois exemplos dos protocolos de uso su e sudo :
usuário: o testx obteve sucesso ao usar o comando su às 07:47:26 e saiu novamente às 07:47:30 |
May 11 07:47:26 server su[3873]: Successful su for root by testx
May 11 07:47:26 server su[3873]: + /dev/pts/3 testx:root
May 11 07:47:26 server su[3873]: pam_unix(su:session): session opened for user root by testx(uid=1002)
May 11 07:47:30 server su[3873]: pam_unix(su:session): session closed for user root
usuário: testx obteve raiz usando o comando sudo às 07:54:21 e saiu novamente às 07:54:31
May 11 07:54:21 server sudo: testx : TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
May 11 07:54:21 server sudo: pam_unix(sudo:session): session opened for user root by testx(uid=0)
May 11 07:54:31 server sudo: pam_unix(sudo:session): session closed for user root
usuário: testx não tem permissão para usar o comando sudo (tentativa sem sucesso).
May 11 07:56:04 server sudo: testx : user NOT in sudoers ; TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
usuário: o texto não tem permissão para usar o comando su (senha incorreta).
May 11 07:56:57 server su[3927]: pam_unix(su:auth): authentication failure; logname=testx uid=1002 euid=0 tty=/dev/pts/3 ruser=testx rhost= user=root
May 11 07:56:59 server su[3927]: pam_authenticate: Authentication failure
May 11 07:56:59 server su[3927]: FAILED su for root by testx
May 11 07:56:59 server su[3927]: - /dev/pts/3 testx:root