хотя он и не встроен, вы можете установить пакет gpm:
$ sudo apt -получить установку gpm
$ sudo /etc/init.d/gpm stop | начать
хорошо работает для консоли CTRL+ALT+Fx с любой оболочкой
Комментарий @Eduardo Trapani находится на правильном пути. Найдите /var/log/auth.log
целых -вхождений словаsu(1)
:
# grep -w su /var/log/auth.log
Jun 9 23:33:47 <auth.notice> jimsdesk su[30048]: jim to root on /dev/pts/0
В приведенном выше примере показано, что пользователь jim
стал root
9 июня в 23 :33 :47.
Если вы хотите знать, какие фактические команды были выполнены, вы должны либо реализовать предложение @waltinator по использованию sudo(8)
, либо надеяться, что /root/.history
или аналогичный файл истории не был перезаписан или обойден. Тем не менее, файл истории root
не поможет разобраться, кто что сделал (, если это проблема ), в случаях, когда sudo
не используется.
@Jim L. на правильном пути:)
Однако в современном Linux у вас, как правило, нет активного файла /var/log/auth.log. Вместо этого та же идея, но сjournalctl
:
journalctl --since=2021-05-09
Вам нужно сделать journalctl тихим (-q )и заставить его печатать только успешные аутентификации для su:
journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root'
Если нас интересует только количество этих:
journalctl --since=2021-05-09 -q -g 'pam_unix\(su:session\): session opened for user root' | wc -l