今天有一台应用服务器的配置被人修改了,看看有谁执行sudo权限修改的应用程序配置文件,结果
/var/log/secure*都为空,更奇怪的是,这台机器上还有个公共账号admin,那查起来就更困难了,
那先把记录登录日志启用吧,连/etc/ssh/sshd_config都被修改了
正常配置如下:
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
看看AUTH 和AUTHPRIV的不同点
AUTH 由 pam_pwdb 报告的认证活动
AUTHPRIV 包括特权信息如用户名在内的认证活动
结果这台机器上的配置是注释了第二行,那为什么跟记录secure日志有关系呢,咱们就看下syslog的配置吧
/etc/syslog.conf
authpriv.*                        /var/log/secure
 

这下来龙去脉应该很清楚了,mark下