【Linux】監査ログ(/var/log/audit/audit.log)のセキュリティに関する重要な操作記録:”sudo -s” 接続失敗(パスワード不一致)の確認手順の確認手順

Linux Server
2024.04.23

ここでは”sudo -s“を用いて管理者権限が必要なコマンド(例:cat /etc/shadow)を実行する際、認証に失敗したらどのような監査ログ(/var/log/audit/audit.log)が出力されるのか、その確認と再現手順を作成します。

管理者権限を持ってない一般ユーザーtest01で接続します。

## 管理者権限の持っていない一般ユーザを確認します。
## test01はwheelグループに属していないため、管理者権限を持っていない一般ユーザになります。

[root@svr ~]# cat /etc/passwd
....中間省略...
test01:x:1001:1001::/home/test01:/bin/bash
[root@svr ~]# cat /etc/group
....中間省略...
wheel:x:10:redhat

## "su -"コマンドを使い、一般ユーザに切り替えます。

[root@svr ~]# su - test01
[test01@svr ~]$

以下のコマンドを実行します。ここで間違ってるパスワードを入力します。

[test01@svr ~]$ cat /etc/shadow
cat: /etc/shadow: 許可がありません

## 上記のように権限不足で実行できないコマンドを
## 以下のように、sudo -sを用いて実行します。

[test01@svr ~]$ sudo -s cat /etc/shadow
[sudo] test01 のパスワード:***
残念、また試してください。
[sudo] test01 のパスワード:***
残念、また試してください。
[sudo] test01 のパスワード:***
sudo: 3 回パスワード試行を間違えました

間違ってるパスワードの接続失敗に対するLinuxシステム認証情報ログを確認するには /var/log/audit/audit.log を参照します。

type=USER_AUTH msg=audit(1721199912.388:283): pid=3416 uid=1001 auid=1001 ses=8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="test01" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/4 res=failed'UID="test01" AUID="test01"
type=USER_AUTH msg=audit(1721199916.381:284): pid=3416 uid=1001 auid=1001 ses=8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="test01" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/4 res=failed'UID="test01" AUID="test01"
type=USER_AUTH msg=audit(1721199919.450:285): pid=3416 uid=1001 auid=1001 ses=8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="test01" exe="/usr/bin/sudo" hostname=? addr=? terminal=/dev/pts/4 res=failed'UID="test01" AUID="test01"
type=USER_CMD msg=audit(1721199921.954:286): pid=3416 uid=1001 auid=1001 ses=8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='cwd="/home/test01" cmd=75736572616464202D6D20746573743032 exe="/usr/bin/sudo" terminal=pts/4 res=failed'UID="test01" AUID="test01"
type=USER_CMD msg=audit(1721199921.954:287): pid=3416 uid=1001 auid=1001 ses=8 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='cwd="/home/test01" cmd=75736572616464202D6D20746573743032 exe="/usr/bin/sudo" terminal=pts/4 res=failed'UID="test01" AUID="test01"

sudo -s は、root権限でシェルを起動しつつ、現在のユーザーの環境を保持したい場合に便利なオプションです。連続して複数の管理コマンドを実行したい場合に、環境を維持したまま手軽にrootのシェルに入ることができます。

タイトルとURLをコピーしました