今天有一臺應用服務器的配置被人修改了,看看有誰執行sudo權限修改的應用程序配置文件,結果
/var/log/secure*都爲空,更奇怪的是,這臺機器上還有個公共帳號admin,那查起來就更困難了,
那先把記錄登陸日誌啓用吧,連/etc/ssh/sshd_config都被修改了
正常配置以下:
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
看看AUTH 和AUTHPRIV的不一樣點
AUTH 由 pam_pwdb 報告的認證活動
AUTHPRIV 包括特權信息如用戶名在內的認證活動
結果這臺機器上的配置是註釋了第二行,那爲何跟記錄secure日誌有關係呢,我們就看下syslog的配置吧
/etc/syslog.conf
authpriv.* /var/log/secure
服務器
這下前因後果應該很清楚了,mark下
ssh