Cách kiểm tra lịch sử sudo trong Linux

Khi bạn chia sẻ máy tính với người khác và cấp cho họ quyền truy cập sudo, bạn nên theo dõi cách họ sử dụng máy tính đó. Rất may, thật dễ dàng để xem lịch sử sudo. Hãy cùng tìm hiểu cách làm chi tiết qua bài viết sau đây!

Nhật ký xác thực

Nhiều service Linux lưu giữ nhật ký để giúp khắc phục sự cố. Rất may, trong số rất nhiều thứ khác, nó cũng lưu giữ một danh sách chi tiết chính xác thông tin mà ta đang tìm kiếm trong bài viết này. Trong danh sách này, bạn có thể kiểm tra xem ai thực thi lệnh nào và vào lúc nào, bằng cách sử dụng sudo. Để tìm thông tin này, nếu bạn đang sử dụng bản phân phối dựa trên Debian hoặc Ubuntu, hãy nhập dòng lệnh sau vào Terminal yêu thích:

sudo nano /var/log/auth.log

Trong các bản phân phối khác, vị trí có thể thay đổi. Thông tin này có thể ở /var/log/secure hoặc /var/log/audit/audit.log. Bạn có thể tìm thấy vị trí của file nhật ký này bằng cách kiểm tra file của người dùng sudo. Điều này cũng có thể được tìm thấy ở một vị trí khác tùy thuộc vào bản phân phối. Thông thường, bạn sẽ tìm thấy nó tại /etc/sudoers. Mở nó bằng trình soạn thảo văn bản yêu thích của bạn và tìm kiếm mục nhập logfile. Giá trị của nó là nơi file đang tìm kiếm được đặt, vì vậy, hãy sửa lại lệnh ở trên để kiểm tra file.

Điều hướng thông tin có được

File nhật ký sẽ chứa rất nhiều mục nhập bạn có thể không cần quan tâm. Bạn có thể cuộn qua lần lượt hoặc sử dụng chức năng tìm của trình soạn thảo văn bản để tìm mọi quá trình sử dụng sudo.

Tuy nhiên, sẽ tốt hơn nếu bạn sử dụng grep. Bằng cách này, bạn có thể lọc nội dung của nhật ký dựa trên một truy vấn đơn giản. Để tìm tất cả các mục sudo trong đó, hãy sử dụng:

sudo grep sudo /var/log/auth.log

Hãy nhớ cập nhật đường dẫn của file nhật ký thành đường dẫn chính xác cho bản phân phối của bạn.

Lệnh này sẽ hiển thị kết quả trực tiếp trong Terminal.

Nếu bạn muốn có thông tin ở định dạng file, hãy thêm tùy chọn chuyển hướng sau lệnh:

sudo grep sudo /var/log/auth.log > sudolist.txt

Khi kiểm tra, bạn sẽ thấy một loạt các mục nhập có ngày, giờ, tên máy tính và lệnh được sử dụng.

Bash thông thường

Nếu chỉ đang tìm kiếm tất cả các lệnh được nhập vào Terminal, bạn có thể xem file “.bash_history” nằm trong thư mục Home. Ví dụ, bạn có thể nhập thông tin sau vào một Terminal:

sudo nano /home/USERNAME/.bash_history

Điều này sẽ hiển thị cho bạn tất cả các lệnh bạn (hoặc người dùng khác) chạy trong Terminal.