如果我使用登录 shell 以 root 身份登录,那么“who”或“users”命令将显示 root 用户的条目。但是,如果我使用 user1 登录,然后使用:
'su - root'
然后“谁”和“用户”命令将不会显示根条目。
有没有办法找出我的系统中是否有登录用户当前已切换到 root(或任何其他帐户)?
问问题
1933 次
2 回答
1
看/var/log/secure文件。
搜索这样的行:
Feb 6 14:12:09 myhost su: pam_unix(su-l:session): session opened for user root by root(uid=999)
uid字符串末尾的 是原始用户之一。
否则,您可以搜索执行su命令的 shell 并检查谁是所有者。
pgrep su | \
xargs -i sh -c "ps -p {} -o ppid=" | \
xargs -i ps -p {} -f
结果将是当前正在运行的用户的 uidsu
我敢肯定有一种更优雅的方法,但现在我没有想到更好的方法。
于 2013-02-06T12:56:10.503 回答
1
感谢 Davide Berra 的回答,我想我已经找到了我想要的东西。
> who | sort -k2 > /tmp/whoresult
> pgrep -x su | xargs -i ps hu -p{} | awk '{printf $7 " ";for (i=11; i<=NF; i++) printf $i " "; printf "\n"}' | sort -k1 | join -1 2 -2 1 /tmp/whoresult -
输出类似于:
pts/3 user1 2013-02-06 16:35 (:0.0) su - root #logged in as user1 and executed 'sudo - root'
pts/5 user1 2013-02-06 16:51 (:0.0) su #logged in as user1 executed 'sudo su'
tty2 root 2013-02-06 17:07 su - user1 #logged in as root and executed 'sudo - user1'
于 2013-02-06T15:20:03.440 回答