基礎服務---secure日誌記錄

今天有一臺應用服務器的配置被人修改了，看看有誰執行sudo權限修改的應用程序配置文件，結果
/var/log/secure*都爲空，更奇怪的是，這臺機器上還有個公共帳號admin，那查起來就更困難了，
那先把記錄登陸日誌啓用吧，連/etc/ssh/sshd_config都被修改了
正常配置以下：
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
看看AUTH 和AUTHPRIV的不一樣點
AUTH 由 pam_pwdb 報告的認證活動
AUTHPRIV 包括特權信息如用戶名在內的認證活動
結果這臺機器上的配置是註釋了第二行，那爲何跟記錄secure日誌有關係呢，我們就看下syslog的配置吧
/etc/syslog.conf
authpriv.*                        /var/log/secure
 

這下前因後果應該很清楚了，mark下