Les administrateurs ont pour politique de se connecter aux serveurs via un nom d'utilisateur personnel, puis de s'exécuter sudo -i
pour devenir root. Lors de l'exécution sudo -i
, sudo créera une variable d'environnement appelée SUDO_USER
, qui contient le nom d'utilisateur de l'utilisateur d'origine.
Existe-t-il un moyen de consigner TOUTES les commandes dans syslog avec une syntaxe proche de la syntaxe suivante:
${TIME/DATE STAMP}: [${REAL_USER}|${SUDO_USER}]: ${CMD}
Un exemple d'entrée serait:
Sat Jan 19 22:28:46 CST 2013: [root|ksoviero]: yum install random-pkg
Évidemment, il ne doit pas nécessairement s'agir de la syntaxe ci-dessus, il faut simplement inclure un minimum d'utilisateurs réels (par exemple, root), d'utilisateur sudo (par exemple, ksoviero) et de la commande complète qui a été exécutée (par exemple, yum installer random-pkg).
J'ai déjà essayé snoopy
, mais cela n'incluait pas la SUDO_USER
variable.
auditd
, et bien que je sois obligé d'enregistrer toutes les commandes en cours d'exécution, cela n'inclut pas la SUDO_USER
variable (ou des informations équivalentes), et je ne trouve pas le moyen de l'inclure. Toute aide serait grandement appréciée!
auditd
.