服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Linux:检查一个组的创builddate
Intereting Posts
安全问题w /物理vs虚拟网关 Ubuntu 14.04 + libvirt KVM,3个物理nic,3个外部ip,3个子网+内部networking如何? 通过PowerShell编辑本地策略 如果系统分区在短时间内无法访问,操作系统是否会崩溃? 如何衡量一个主机对埃及用户有好处? 连接到恶意VPN NLB – 检测服务closures 在接口上设置VLAN 如何在Windows Server 2008 R2上禁用SSLv1 / SSLv2 / SSLv3协议以将Poodle屏蔽到Apache 2.4.9? 带有256MB RAM的VPS:Ubuntu或者Debian 新PostgreSQL安装中奇怪的权限错误 什么是LSASS.exe? 为什么需要大量的内存和CPU时间? 在CentOS 6.5上安装Node.js时,权限被拒绝 允许IIS_IUSRSencryption和解密文件 Server 2003R2 DC Windows 7并禁用自动更新

Linux:检查一个组的创builddate

有没有一种方法可以检查一个Linux组的创build和/或修改date? 如果我能拉最后一个用户来修改组,那将会更好。

假设我们在这里说的是本地文件(不是LDAP),并且没有额外的审计软件,那么你几乎局限于/ etc / group的元数据; 您可以看到文件上次修改时间,但不是由谁或哪个组受到影响。

只要看看/ var / log / secure,我创build并修改了一个组作为例子。 请注意,该命令可能与最后一次打开的会话无关,因此可能难以确定实际执行的人员:
Aug 30 20:38:09 aladdin su: pam_unix(su-l:session): session opened for user root by james(uid=0)
Aug 30 20:38:15 aladdin groupadd[2442]: group added to /etc/group: name=test, GID=501
Aug 30 20:38:15 aladdin groupadd[2442]: group added to /etc/gshadow: name=test
Aug 30 20:38:15 aladdin groupadd[2442]: new group: name=test, GID=501
Aug 30 20:39:03 aladdin groupmod[2450]: group changed in /etc/group (group test/501, new gid: 502)
Aug 30 20:39:03 aladdin groupmod[2450]: group changed in /etc/passwd (group test/501, new gid: 502) Aug 30 20:38:09 aladdin su: pam_unix(su-l:session): session opened for user root by james(uid=0)
Aug 30 20:38:15 aladdin groupadd[2442]: group added to /etc/group: name=test, GID=501
Aug 30 20:38:15 aladdin groupadd[2442]: group added to /etc/gshadow: name=test
Aug 30 20:38:15 aladdin groupadd[2442]: new group: name=test, GID=501
Aug 30 20:39:03 aladdin groupmod[2450]: group changed in /etc/group (group test/501, new gid: 502)
Aug 30 20:39:03 aladdin groupmod[2450]: group changed in /etc/passwd (group test/501, new gid: 502) 。我的机器被称为aladdin – 它是什么?

您可以使用lastcomm查看最后一个命令,因为您必须启用acct ,方法是将以下内容添加到init脚本中: 

 # Turn process accounting on. if [ -x /sbin/accton ] then /sbin/accton /var/log/pacct echo "Process accounting turned on." fi

要创build会计logging文件: 

 touch /var/log/pacct chown root /var/log/pacct chmod 0644 /var/log/pacct

我可以推荐你做的一件事是改变你的groupaddgroupdel ,把它移动到别的地方,创build2个bash脚本来存储召唤它的用户,时间和命令,之后它会调用实际的脚本创build组或删除它们。

小样本:mv / usr / sbin / groupadd / usr / sbin / new_groupadd

现在创build一个新的/usr/sbin/groupadd跟随下面的内容(不要忘了在完成之后修改它): 

 #!/bin/bash echo "`date` - $USER - /usr/sbin/new_groupadd $@" >> /var/log/group_log /usr/sbin/new_groupadd $@

创buildlogging文件: 

 touch /var/log/groupadd_log chown root /var/log/groupadd_log chmod 0644 /var/log/groupadd_log

James Lawrie指出,在/ var / log / secure中指出,所有它是旋转的文件(如果条目已经太老了)要了解它最后一次更改的时间,但是如果你给了除root之外的其他用户访问添加组。