Ubuntu deluser命令日志记录

在Ubuntu系统中，deluser命令用于删除用户帐户。默认情况下，系统不会将deluser命令的详细信息记录到日志文件中。但是，你可以通过配置系统日志服务来记录这些操作。

以下是如何配置rsyslog（Ubuntu默认的系统日志服务）以记录deluser命令的步骤：

方法一：使用rsyslog配置文件

1. 打开rsyslog配置文件：

   sudo nano /etc/rsyslog.conf
   

2. 添加日志规则： 在文件的末尾添加以下行，以捕获与用户删除相关的日志条目：

   if $programname == 'passwd' then /var/log/user-del.log
   &
        stop
   

   这里的passwd是deluser命令使用的程序名。& stop确保这条规则之后的其他规则不会处理这个日志条目。

3. 重启rsyslog服务：

   sudo systemctl restart rsyslog
   

方法二：使用auditd进行审计

如果你需要更详细的审计跟踪，可以使用auditd服务：

1. 安装auditd：

   sudo apt-get install auditd audispd-plugins
   

2. 配置auditd： 编辑/etc/audit/audit.rules文件，添加以下规则来监控用户删除操作：

   -a exit,always -F arch=b32 -S deluser -k user-del
   -a exit,always -F arch=b64 -S deluser -k user-del
   

3. 重启auditd服务：

   sudo systemctl restart auditd
   

4. 查看审计日志： 你可以使用以下命令查看与用户删除相关的审计日志：

   sudo ausearch -k user-del
   

方法三：使用PAM模块

如果你希望在用户删除时执行自定义脚本，可以使用PAM（Pluggable Authentication Modules）模块：

1. 创建自定义脚本： 创建一个脚本文件，例如/usr/local/bin/user-del-logger.sh，内容如下：

   #!/bin/bash
   echo "$(date) - User $PAM_USER was deleted by $(whoami)" >
       >
        /var/log/user-del.log
   

2. 赋予执行权限：

   sudo chmod +x /usr/local/bin/user-del-logger.sh
   

3. 配置PAM： 编辑/etc/pam.d/common-session文件，在文件末尾添加以下行：

   session optional pam_exec.so /usr/local/bin/user-del-logger.sh
   

4. 重启PAM服务：

   sudo systemctl restart systemd-logind
   

通过以上方法之一，你可以确保deluser命令的操作被记录下来，以便日后审计和故障排除。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！