Fügen Sie dazu eine Regel zu audit.rules hinzu
-w /sbin/shutdown -p x -k power
Ich lasse AuditD auf Centos 6.5 laufen.
Gibt es eine Möglichkeit, Server-Neustarts zu überwachen - wer und wann ein Server neu gestartet wird? Also wenn ich mich einloggen und ausführen:
sudo reboot
Ich sollte einen Protokolleintrag in /var/log/audit/audit.log mit folgendem Inhalt sehen:
type=CMD msg=audit(1484758210.821:630): user pid=2361 uid=101 auid=101 subj=system_u:system_r:unconfined_t:s0-s0:c0.c1023 exe="/sbin/reboot"
Fügen Sie dazu eine Regel zu audit.rules hinzu
-w /sbin/shutdown -p x -k power
Sie können auch nach Protokollen suchen, wenn Sie die Überwachungsregeln nicht konfigurieren können oder wollen:
sudo grep sudo /var/log/auth.log
Alle ausgeführten Sudo-Befehle sind dort vorhanden, sodass Sie sie finden können, indem Sie nach 'Neustart' oder 'Herunterfahren' suchen.