/var/adm/sulog ファイルを監視すると、su の操作を監視することができます。su コマンドを使用するたびに、このファイルにログが記録されます。このファイルへの su ログの記録は、デフォルトで、 /etc/default/su ファイルの次のエントリで有効になっています。
SULOG=/var/adm/sulog |
su コマンドを使用すると、sulog ファイルには、ユーザーからスーパーユーザーに切り替えたときの su コマンドの使用を含め、すべての su コマンドの使用歴が記録されます。各エントリは、コマンドが入力された日時、su コマンドの成否 (+ または -)、コマンドが実行されたポート、およびユーザー名と切り替えたユーザー ID を示します。
/etc/default/su ファイルを通じて、リモートシステムから su コマンドを使用してスーパーユーザーのアクセス権を取得しようとする操作が発生するたびに、コンソールに表示されるようにシステムを設定することができます。これは、現在作業中のシステム上で誰かがスーパーユーザーのアクセス権を取得しようとした場合に、それをすぐに検出する適切な方法です。詳細な手順については次の章を参照してください。
/var/adm/sulog ファイルの内容を定期的に監視します。
# more /var/adm/sulog SU 12/20 16:26 + pts/0 nathan-root SU 12/21 10:59 + pts/0 nathan-root SU 01/12 11:11 + pts/0 root-joebob SU 01/12 14:56 + pts/0 pmorph-root SU 01/12 14:57 + pts/0 pmorph-root |