suコマンドのログ

suコマンドのログ

suでユーザを切り替えたときのログ参照方法

セキュリティ対策としてログの参照が使われます

centosでは、suコマンドでユーザを切り替えたとき、誰が操作したのかログが取得されています。
まず、「/etc/syslog.conf」を確認します。

# cat /etc/syslog.conf
（途中省略）
# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure
（このあとも省略）

 また、切り替えの状況は、ファイル「/var/log/secure」に記録されています。

# cat /var/log/secure
（途中省略）
Aug  5 14:10:44 localhost su: pam_unix(su-l:session): session opened for user root by user(uid=500)
Aug  5 14:11:05 localhost su: pam_unix(su-l:session): session closed for user root
（このあとも省略）

この例だと、14:10:44にuserユーザがrootユーザになり、14:11:05にrootユーザの操作を終了しています。