TL; DR: Por que, em um único servidor, o comando who -m não fornece a saída do endereço IP e o nome de usuário que iniciou a conexão com o servidor
a pergunta: Eu tenho vários servidores Linux com o mesmo sistema operacional Dist (RHEL 5.11). um dos servidores foi configurado por trabalhadores há muito tempo que não estão mais disponíveis.
Eu estava tentando implementar uma espécie de auditoria de histórico para usuários que se conectam a um único usuário com
su - <powerful_user>
não temos como impedi-los de trabalhar assim. mas queremos auditar seu IP e nome de usuário inicial. Eu encontrei alguém solução para isso: solution
e funciona muito bem! o problema é que existe um único servidor (o mais importante) que não permite obter essa informação ao fazer
su - <powerful_user>
who -m
who -m mostra o usuário inicial (o usuário que conectou e usou o comando su) e o endereço IP da estação de trabalho que abriu a sessão. esse servidor não mostra essa informação. em vez disso, depois de fazer su - mostra o usuário atual e não aquele que iniciou a sessão.
Eu não tenho ideia do que faz isso. mas isso é o que eu fiz:
variáveis de ambiente - > Descobri que os servidores em funcionamento obtêm essas variáveis automaticamente definidas mesmo após su -:
SSH_ASKPASS
SSH_CLIENT
SSH_CONNECTION
SSH_TTY
mas no servidor com o problema não está sendo encaminhado para outras sessões que foram abertas pelo su -.
basicamente, não está claro para mim por que esse servidor se comporta de maneira diferente.
Como segue do arquivo /etc/pam.d/su , apenas membros do grupo wheel têm permissão para usar su , já que existe uma linha no arquivo:
auth required pam_wheel.so use_uid
É necessário adicionar todos os seus usuários ao grupo wheel :
usermod -G wheel <powerful_user>
Adicione todos os usuários que você deseja usar su da mesma maneira. Reinicie seu servidor depois para aplicar as alterações.