👥 Как настроить sudoreplay на Ubuntu и воспроизвести сеанс sudo |

👥 Как настроить sudoreplay на Ubuntu и воспроизвести сеанс sudo

Мануал

Команда sudoreplay может воспроизводить логи сеансов sudo.

Чтобы настроить ее, сначала выполните команду sudo visudo для безопасного редактирования файла etc/sudoers.

Затем добавьте эти строки в конец файла.

Defaults log_output
Defaults!/usr/bin/sudoreplay !log_output
Defaults!/sbin/reboot !log_output

Затем сохраните и выйдите.

Теперь все готово.

После включения я выполнил команду sudo mc, которая была записана в новый каталог лога, /var/log/sudo-io.

Вот пример использования этой новой утилиты.

sudo sudoreplay -l
Aug 10 15:28:11 2022 : jason : TTY=/dev/pts/0 ; CWD=/home/jason ; USER=root ; TSID=000001 ; COMMAND=/usr/bin/mc

Другой пример, поиск конкретной команды.

sudo sudoreplay -l user jason command mc
Aug 10 15:28:11 2022 : jason : TTY=/dev/pts/0 ; CWD=/home/jason ; USER=root ; TSID=000001 ; COMMAND=/usr/bin/mc

Как вывести все случаи использования sudo за определенный промежуток времени.

~$ sudo sudoreplay -l fromdate "8 minutes ago"
Aug 10 15:37:12 2022 : jason : TTY=/dev/pts/0 ; CWD=/home/jason ; USER=root ; TSID=000002 ; COMMAND=/usr/bin/apt install xephem
Aug 10 15:37:18 2022 : jason : TTY=/dev/pts/0 ; CWD=/home/jason ; USER=root ; TSID=000003 ; COMMAND=/usr/bin/apt install celestia
Aug 10 15:37:54 2022 : jason : TTY=/dev/pts/0 ; CWD=/home/jason ; USER=root ; TSID=000004 ; COMMAND=/usr/bin/apt update

Чтобы воспроизвести сеанс sudo, запустите команду sudo replay следующим образом.

Это воспроизведение сессии с TSID, равным 000004.

Конечно, сначала вы должны выполнить команду sudoreplay с -l, чтобы перечислить сессии и узнать, что это за команды.

sudo sudoreplay  000004
Replaying sudo session: /usr/bin/apt update
Hit:1 http://au.archive.ubuntu.com/ubuntu focal InRelease
Hit:2 http://au.archive.ubuntu.com/ubuntu focal-updates InRelease
Hit:3 http://au.archive.ubuntu.com/ubuntu focal-backports InRelease
Hit:4 http://security.ubuntu.com/ubuntu focal-security InRelease
Reading package lists... Done
Building dependency tree
Reading state information... Done
All packages are up to date.

см. также:

 

Добавить комментарий