Список пользователей, которые стали root через «su» за последние 30 дней
хотя он и не встроен, вы можете установить пакет gpm:
$ sudo apt -получить установку gpm
$ sudo /etc/init.d/gpm stop | начать
хорошо работает для консоли CTRL+ALT+Fx с любой оболочкой
Комментарий @Eduardo Trapani находится на правильном пути. Найдите /var/log/auth.logцелых -вхождений словаsu(1):
# grep -w su /var/log/auth.log
Jun 9 23:33:47 <auth.notice> jimsdesk su[30048]: jim to root on /dev/pts/0
В приведенном выше примере показано, что пользователь jimстал root9 июня в 23 :33 :47.
Если вы хотите знать, какие фактические команды были выполнены, вы должны либо реализовать предложение @waltinator по использованию sudo(8), либо надеяться, что /root/.historyили аналогичный файл истории не был перезаписан или обойден. Тем не менее, файл истории rootне поможет разобраться, кто что сделал (, если это проблема ), в случаях, когда sudoне используется.
@Jim L. на правильном пути:)
Однако в современном Linux у вас, как правило, нет активного файла /var/log/auth.log. Вместо этого та же идея, но сjournalctl:
journalctl --since=2021-05-09
Вам нужно сделать journalctl тихим (-q )и заставить его печатать только успешные аутентификации для su:
journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root'
Если нас интересует только количество этих:
journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root' | wc -l