АК
можно не под рутом с левого юзера заходить как вариант
Size: a a a
2021 October 04
CB
это будет в бинарном логе
АК
по моему все будет в бинарном логе
CB
да, можешь проверить, открой 2 терминала
В 1-ом набери:
В 1-ом набери:
sudo journalctl -f
В 2-ом набери какую-нибудь команду с sudo, например:sudo ls
И в 1-ом терминале ты увидишь записи обращения к sudo и командуАК
ок, спс
VP
Или контейнер.
VP
Ну к логам можно закрыть доступ правами.
CB
Ну да, даже если не закрывать, он же всё равно сможет открыть бинарь и посмотреть что произошло за какой-то период, если этот бинарь есть, кстати, логи могут быть подпорчены изменением даты, может быть путанница, поэтому тоже стоит уделить внимание этому моменту
VP
Просто для
other убираешь права r на /var/log/journal, Ну и у него ещё и АЦЛ-ки есть, да.АК
всем спасибо большое
CB
Ну да, ну я с позиции что у них есть доступ к sudo, хотя вроде ещё можно для юзера ограничить возможности оболочки ну и selinux на крайний)
VP
Ну вообщем скрыть наличие юзера в системе может и можно, но ооочень проблемно. Поэтому я-б предпочёл юзеров маленько контейнеризовать.
VP
Кстати, об этом будет моя следующая, после текущей, статья.
CB
А что если в cron-e прописать, или демоном в systemd скрипт, который будет транслировать в почту или мессенджер вывод
journalctl -f, таким образом юзера не будет, а осведомленность о происходящем в системе будетCB
Интересно) тогда ждем статью)
АК
а где статьи?
АК
и как будет статья киньте ссылку пж)
CB
На хабре скорее всего
VP
Можно сделать хитрее... Настроить
journalctlна отправку логов на удалённый хост или в контейнер.