У меня есть группа серверов, которые используют Kerberos для аутентификации. Мы распространяем keytabs среди пользователей, но хотим, чтобы пользователь никогда не передал свои keytab кому-то другому. По сути, нам нужно проверять IP-адреса пользователей, входящих в нашу систему. Если кажется, что IP-адрес не принадлежит нашему домену, мы хотим об этом знать. Что я могу сделать? Я немного полдень. Можно ли это сделать с помощью auditd? Спасибо!
Вы можете использовать команду last, которая покажет пользователям, которые вошли на сервер, IP-адрес и дату.
auditd для спасения:
ausearch -m USER_AUTH
дает (среди прочего):
type=USER_AUTH msg=audit(1435161396.088:342): pid=17550 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=10.0.0.x terminal=ssh res=success