Log-Files

監控 auth.log

  • February 22, 2013

假設您希望能夠輕鬆查看最近誰登錄了系統。

auth.log 有這些資訊,但它的 crontab 條目非常混亂,你必須使用 sudo 來閱讀它。

建議的解決方案:

  • 編寫一個腳本來解析 /var/log/auth.log 尋找有趣的東西
  • 使 root 成為該腳本的所有者
  • 創建一個無法登錄的使用者
  • 將該使用者添加到“adm”組,從而授予他們對日誌文件的只讀訪問權限
  • 將腳本放入該使用者的 crontab

該解決方案的安全風險是什麼?將某人添加到 adm 組似乎有風險,但如果他們所能做的就是執行一個經過檢查不會做任何壞事的腳本。

該解決方案本身不應構成安全風險,除非腳本的輸出通過郵件發送或保存在其他使用者可讀的地方。

adm-group 的目的是允許該組中的使用者查閱日誌文件和 /dev/console,例如。xconsole 顯示控制台消息。

引用自:https://serverfault.com/questions/481480