阅读量:2
在Ubuntu系统中,使用deluser命令删除用户后,可以通过以下几种方法进行审计:
1. 查看系统日志
Ubuntu的系统日志通常存储在/var/log目录下。你可以查看以下日志文件来获取有关用户删除的信息:
-
auth.log: 记录所有认证相关的事件,包括用户账户的创建和删除。
sudo cat /var/log/auth.log | grep 'deluser' -
syslog: 记录系统的各种事件,可能包含用户删除的信息。
sudo cat /var/log/syslog | grep 'deluser'
2. 使用auditd进行审计
Ubuntu默认安装了auditd服务,可以用来监控和记录系统中的各种事件。你可以配置auditd来跟踪用户删除操作。
安装和启用auditd
sudo apt-get update
sudo apt-get install auditd audispd-plugins
sudo systemctl enable auditd
sudo systemctl start auditd
配置auditd规则
编辑/etc/audit/rules.d/audit.rules文件,添加以下规则来监控用户删除操作:
-a exit,always -F arch=b32 -S deluser -k user_deletion
-a exit,always -F arch=b64 -S deluser -k user_deletion
查看审计日志
sudo ausearch -k user_deletion
3. 使用last命令查看用户登录历史
虽然last命令主要用于查看用户的登录历史,但也可以用来确认用户是否已经被删除。
last
4. 检查/etc/passwd和/etc/shadow文件
确保用户已经被从/etc/passwd和/etc/shadow文件中删除。
grep 'username' /etc/passwd
grep 'username' /etc/shadow
如果用户已经被删除,这些命令将不会返回任何结果。
5. 使用getent命令验证用户是否存在
getent passwd username
getent shadow username
如果用户已经被删除,这些命令将返回空结果。
通过以上方法,你可以有效地审计Ubuntu系统中用户删除的操作。
以上就是关于“ubuntu deluser删除用户后如何审计”的相关介绍,筋斗云是国内较早的云主机应用的服务商,拥有10余年行业经验,提供丰富的云服务器、租用服务器等相关产品服务。云服务器资源弹性伸缩,主机vCPU、内存性能强悍、超高I/O速度、故障秒级恢复;电子化备案,提交快速,专业团队7×24小时服务支持!
简单好用、高性价比云服务器租用链接:https://www.jindouyun.cn/product/cvm