Logs
aureport 中的使用者“未設置”是誰?
我找不到這個難以捉摸的“未設置”使用者,
/etc/passwd也沒有提到他,man aureport儘管她在我的審計日誌中獲得了最多的點擊次數:# aureport -u -i --summary --start today User Summary Report =========================== total auid =========================== 888 unset 222 root 55 creepy_user誰是“未確定”的使用者,他以什麼為生?
根據
auid此 SuSE 頁面的定義,標題為:了解審計日誌和生成報告:熱切地
審核 ID。一個程序在使用者登錄時被賦予一個審計 ID。然後這個 ID 被傳遞給由使用者的初始程序啟動的任何子程序。即使使用者更改了他的身份(例如,成為 root),審計 ID 也保持不變。因此,您始終可以將操作跟踪到登錄的原始使用者。
我會得出結論,使用者沒有為傳遞給已啟動子程序的程序執行登錄。有一些方法可以在 Unix 上執行程序而無需實際登錄。
我相信
pam_loginuid負責設置這個。您可以查看手冊頁以獲取更多資訊。