我可以找到以超级用户身份运行命令的人吗? 我有进程ID和超级用户ID,但不是底层的人类用户。
答案 0 :(得分:0)
除非命令生成某些特定的日志记录,否则您将无法知道它是否已运行以及由谁运行。 AFAIK,在Linux中,对于系统中运行的每个命令都没有这样的记录。我认为,你可以看到一些用户运行命令的唯一方法是搜索他的历史记录(.history文件)并查看命令是否已启动以及是否使用sudo或su启动。但这依赖于用户历史记录,默认情况下只保存最后500行(可通过HISTFILESIZE变量进行配置)
此外,还有其他方法以超级用户身份启动命令,因此只查看su / sudo是不够的。有关以root身份启动命令的不同方法的详细信息,请查看以下链接:
http://www.cyberciti.biz/open-source/command-line-hacks/linux-run-command-as-different-user/