Hvem drepte prosessen min?

[dabear]

Heisann. Sitter og tester ut debian lenny i virtualbox her. Jeg har to brukere, bjorninge og testbruker, i tillegg til root.

 

gjennom sudo, har jeg gitt bjorninge rettigheter til å drepe prosesser med killall. Dersom da testbruker kjører en prosess som root eller bjorninge bestemmer seg for å drepe, vil testbruker få beskjed om at "process killed" i terminal. Hvordan kan jeg som testbruker da se hvem det var som drepte prosessen min?

[anders iver]

Det er bare å sjekke auth.log det

 

sudo cat /var/log/auth.log | grep killall

 

Eventuelt kan du kjøre denne for å få fortløpende oppdateringer:

sudo tail -f /var/log/auth.log | grep killall

 

Edit: krever selvsagt at testbruker har root-tilgang til de kommandoene

Endret 4. april 2009 av anders iver

[dabear]

Takker, det er altså ingen måte for "testbruker" kan sjekke dette uten root-rettigheter?

[anders iver]

Det kan jo godt hende, men jeg kan ikke komme på noen enkel metode.. Men det er vel ikke værre enn å gi alle medlemmer i gruppen users rett til å kjøre kommandoen uten passord, og lage et alias i f.eks .bashrc så brukeren ikke trenger å bry seg med sudo og slikt.

[jonnor]

Enklere å gi lesetilgang til auth.log for de aktuelle brukerene. Å gi superbruker rettigheter til cat/tail for vanlige brukere bør du ihvertfall være forsiktig med.

[anders iver]

Godt poeng.

 

Men det er ikke nødvendig å gi brukerne rettigheter til å kjøre cat og tail fritt. Det holder å gi dem rett til å kjøre den spesifikke kommandoen, slik:

 

%users	 ALL = NOPASSWD: /bin/cat /var/log/auth.log | /bin/grep killall

 

Edit: Det kan jo være greit at brukere ikke har full lesetilgang til auth.log, så jeg ville nok gått for denne løsningen i alle fall.

Endret 5. april 2009 av anders iver