Если я:
[user@notebook ~] sudo echo 123456uu
123456uu
[user@notebook ~]
Тогда я вижу это в журналах:
[root@notebook /var/log] grep 123456uu *
auth.log:Jan 9 17:01:51 notebook sudo: user : TTY=pts/3 ; PWD=/home/user ; USER=root ; COMMAND=/bin/echo 123456uu
[root@notebook /var/log]
но если я:
[user@notebook ~] sudo su -
[root@notebook ~] echo 1234567zz
1234567zz
[root@notebook ~]
Я не могу видеть это в журналах:
[root@notebook /var/log] grep 1234567zz *
[root@notebook /var/log] echo $?
1
[root@notebook /var/log]
Мой вопрос: как включить регистрацию для команд в «sudo su -»?
ОС - это Ubuntu 12.04, но вопрос в целом.
UPDATE # 1:
[user@notebook ~] sudo su -
[sudo] password for user:
[root@notebook ~] echo zizizi
zizizi
[root@notebook ~] cd /var/log
[root@notebook /var/log] grep -iIR 'zizizi' *
[root@notebook /var/log] grep 'COMMAND=/bin/su -' *
auth.log:Jan 10 15:42:42 notebook sudo: user : TTY=pts/1 ; PWD=/home/user ; USER=root ; COMMAND=/bin/su -
[root@notebook /var/log]
sudo su -
, он также имеет возможность удалить все записи журнала, которые вы могли бы сделать из своих действий. Если вы хотите 100% достоверности при ведении журнала, вам нужноsudo
сильно ограничить иsudo su
полностью запретить .