Как найти файлы и действовать с ними (find + exec)

стандартные отчеты Linux об использовании su и sudo через модуль PAM в /var/log/auth.log.

Таким образом, самый простой способ — отслеживать этот файл журнала и создавать сигналы тревоги. Вы можете создать простой скрипт для отправки писем или использовать анализаторы лог-файлов (например, logstash, Graylog), которые могут вызывать сигналы тревоги.

Вот два примера протоколов использования su и sudo:

пользователь: testx успешно получил root с помощью команды su в 07:47. :26 и снова вышел в 07:47:30

May 11 07:47:26 server su[3873]: Successful su for root by testx
May 11 07:47:26 server su[3873]: + /dev/pts/3 testx:root
May 11 07:47:26 server su[3873]: pam_unix(su:session): session opened for user root by testx(uid=1002)
May 11 07:47:30 server su[3873]: pam_unix(su:session): session closed for user root

пользователь: testx успешно получил root с помощью команды sudo в 07:54:21 и снова вышел в 07:54:31

May 11 07:54:21 server sudo:    testx : TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh
May 11 07:54:21 server sudo: pam_unix(sudo:session): session opened for user root by testx(uid=0)
May 11 07:54:31 server sudo: pam_unix(sudo:session): session closed for user root

пользователь : testx не разрешено использовать команду sudo (неудачная попытка).

May 11 07:56:04 server sudo:    testx : user NOT in sudoers ; TTY=pts/3 ; PWD=/ ; USER=root ; COMMAND=/bin/sh

пользователь: text не разрешено использовать команду su (неверный пароль).

May 11 07:56:57 server su[3927]: pam_unix(su:auth): authentication failure; logname=testx uid=1002 euid=0 tty=/dev/pts/3 ruser=testx rhost=  user=root
May 11 07:56:59 server su[3927]: pam_authenticate: Authentication failure
May 11 07:56:59 server su[3927]: FAILED su for root by testx
May 11 07:56:59 server su[3927]: - /dev/pts/3 testx:root