Linux Audit Server Reboots

0

Saya menjalankan AuditD pada Centos 6.5.

Apakah ada cara untuk mengaudit reboot server - siapa dan kapan server di-reboot? Jadi jika saya masuk dan menjalankan: 

sudo reboot

Saya akan melihat entri log di /var/log/audit/audit.log dengan sesuatu seperti ini: 

type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"
linux  centos  auditd 
Ken J
sumber

Jawaban:

1

Tambahkan aturan untuk itu ke audit.rules 

-w /sbin/shutdown -p x -k power
djsmiley2k
sumber
0

Anda dapat mencoba melihat log juga jika Anda tidak bisa atau tidak ingin mengonfigurasi aturan audit: 

sudo grep sudo /var/log/auth.log

Setiap perintah sudo yang dieksekusi akan ada di sana, sehingga Anda dapat menemukannya dengan mencari 'reboot' atau 'shutdown'.

Tim Connor
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.