这个问题与我之前的问题有关:
Log all commands run by admins on production servers
管理员通过个人用户名登录服务器的公司政策,然后运行sudo -i成为root用户.运行sudo -i后,sudo将创建一个名为SUDO_USER的环境变量,其中包含原始用户的用户名.
是否可以让auditd在每个命令的日志中包含此变量?或功能等同物.
这是auditd的当前规则集:
- # First rule - delete all
- -D
- # Increase the buffers to survive stress events.
- # Make this bigger for busy systems
- -b 320
- # Log any command run on this system
- #-a exit,always -F arch=b64 -S execve
- -a exit,always -F arch=b32 -S execve