Мне было любопытно узнать, есть ли 3 или 4 человека, которые имеют root-доступ к узлу. один человек инициировал задание на бег, но кто-то убил выполнявшееся задание. что было бы лучшим способом идентифицировать человека, который убил работу / процесс, потому что у каждого тела есть root-доступ.
1 ответ
0
Невозможно без надлежащего аудита. Без аудита вы можете только догадываться, основываясь на временных отметках о том, когда именно работа была убита (если у вас есть такая информация) и какие пользователи вошли в систему. Я предполагаю, что они входят в систему как обычные пользователи и используют что-то вроде su или sudo чтобы стать пользователем root.
Об аудите - базовым было бы наличие сценария входа в систему для пользователя root, который бы устанавливал другой файл истории в зависимости от того, кто переключается в режим root. Для более изощренного аудита (само ядро регистрирует, кто что делает), используйте Google для "аудита Linux".