LPIC-1 zu Rsyslyg: Wo erscheinen Protokollmeldungen von su?

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
paedubucher
Beiträge: 938
Registriert: 22.02.2009 16:19:02
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schweiz
Kontaktdaten:

LPIC-1 zu Rsyslyg: Wo erscheinen Protokollmeldungen von su?

Beitrag von paedubucher » 08.08.2024 07:49:54

Nach erfolgreicher LPIC-101-Prüfung bereite ich mich nun auf die LPIC-102-Prüfung vor. Hierzu verwende ich als Hilfsmittel das hervorragende Buch LPIC-1 von Anselm Lingnau. Hinten am Buch sind Lernziele in Form von Fragen aufgeführt. Nun lerne ich so, dass ich zu jeder Frage eine kleine Zusammenfassung schreibe.

Eine Frage bereitet mir aber doch etwas Mühe: Es geht um das Thema Rsyslog und die Frage lautet:
Wo erscheinen Protokollmeldungen von su?
Inhaltlich habe ich hierzu nichts explizites im Kapitel gefunden, auf das verwiesen wird.

Hat jemand eine Idee, wie das gemeint sein könnte? Geht es um das Programm su selber, oder um Meldungen, die in einer entsprechenden Session geschrieben werden?
Habe nun, ach! Java
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.

Benutzeravatar
oln
Beiträge: 539
Registriert: 05.01.2021 09:41:24

Re: LPIC-1 zu Rsyslyg: Wo erscheinen Protokollmeldungen von su?

Beitrag von oln » 08.08.2024 08:07:20

Moin,
ich gehe davon aus, dass es um die Eintrage in /var/log/syslog geht.
Gruß Ole
AbuseIPDB

Benutzeravatar
MSfree
Beiträge: 11605
Registriert: 25.09.2007 19:59:30

Re: LPIC-1 zu Rsyslyg: Wo erscheinen Protokollmeldungen von su?

Beitrag von MSfree » 08.08.2024 08:13:23

paedubucher hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 07:49:54
Wo erscheinen Protokollmeldungen von su?
Inhaltlich habe ich hierzu nichts explizites im Kapitel gefunden, auf das verwiesen wird.
Einerseits erscheint mir der Frage inzwischen obsolet, da heutige Linuxe alles ins Journal loggen. Andererseits hängt die Antwort auf das "wo" davon ab, wie man rsyslogd konfiguriert. So furchtbar viele Distributionen kenne ich nun auch wieder nicht, kann mich aber daran erinnern, daß frühe SuSEs, Debian und Gentoo sich hier zeimlich deutlich unterschieden haben.

Debian hat früher die verschiedenen Logmeldungen in unterschiedliche Dateien aufgespalten, z.B. kernel.log, syslog, messages... Einige Meldungen sind in mehrere Logdateien dupliziert worden, was ich immer ziemlich lästig fand und rsyslog.conf daher immer selbst angepaßt habe.

Alte SuSEs haben einfach alles nach messages gelogt.

Heutige Debiane loggen alles nach syslog, sofern rsyslogd überhaupt manuell nachinstalliert wird, sonst (zusätzlich) ins Journal.

Ich könnte mir vorstellen, daß die Frage darauf abzielt, in welche der Logfiles die su-Meldungen ausgegeben werden. Aber dazu kann es eigentlich keine einheitliche Antwort geben.
Zuletzt geändert von MSfree am 08.08.2024 09:11:09, insgesamt 1-mal geändert.

rhHeini
Beiträge: 2706
Registriert: 20.04.2006 20:44:10

Re: LPIC-1 zu Rsyslyg: Wo erscheinen Protokollmeldungen von su?

Beitrag von rhHeini » 08.08.2024 09:07:14

Schau mal nach /var/log/auth.log.

paedubucher
Beiträge: 938
Registriert: 22.02.2009 16:19:02
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Schweiz
Kontaktdaten:

Re: LPIC-1 zu Rsyslyg: Wo erscheinen Protokollmeldungen von su?

Beitrag von paedubucher » 08.08.2024 09:38:40

MSfree hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 08:13:23
Einerseits erscheint mir der Frage inzwischen obsolet, da heutige Linuxe alles ins Journal loggen. Andererseits hängt die Antwort auf das "wo" davon ab, wie man rsyslogd konfiguriert. So furchtbar viele Distributionen kenne ich nun auch wieder nicht, kann mich aber daran erinnern, daß frühe SuSEs, Debian und Gentoo sich hier zeimlich deutlich unterschieden haben.
Im Journal sehe ich komischerweise eben gerade gar nichts, wenn ich su ausführe.
MSfree hat geschrieben: Ich könnte mir vorstellen, daß die Frage darauf abzielt, in welche der Logfiles die su-Meldungen ausgegeben werden. Aber dazu kann es eigentlich keine einheitliche Antwort geben.
Ja, das dürfte es wohl sein! Im Kapitel wird noch last erwähnt, das auf /var/log/wtmp liest; aber auch dort wird nichts angezeigt, wenn ich su ausführe.
rhHeini hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 09:07:14
Schau mal nach /var/log/auth.log.
Da sehe ich tatsächlich die su-Versuche aufgelistet, das dürfte wohl die Antwort sein! (Zumindest unter Debian.)

Vielen Dank!
Habe nun, ach! Java
Python und C-Sharp,
Und leider auch Visual Basic!
Durchaus programmiert mit heissem Bemühn.
Da steh' ich nun, ich armer Tor!
Und bin so klug als wie zuvor.

tobo
Beiträge: 2346
Registriert: 10.12.2008 10:51:41

Re: LPIC-1 zu Rsyslyg: Wo erscheinen Protokollmeldungen von su?

Beitrag von tobo » 08.08.2024 10:04:51

paedubucher hat geschrieben: ↑ zum Beitrag ↑
08.08.2024 09:38:40
Im Kapitel wird noch last erwähnt, das auf /var/log/wtmp liest; aber auch dort wird nichts angezeigt, wenn ich su ausführe.
Dein last-Befehl funktioniert nicht oder bei was wird nichts angezeigt? /var/log/{wtmp,btmp} sind Binärdateien, wtmp schreibt An-/Abmeldung und btmp schreibt fehlerhafte Anmeldungen. Lesbar über `last -f /var/log/Xtmp'.

Benutzeravatar
Livingston
Beiträge: 1816
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: LPIC-1 zu Rsyslyg: Wo erscheinen Protokollmeldungen von su?

Beitrag von Livingston » 08.08.2024 11:27:11

Bei dem ganzen, alten Nicht-systemd-Login gibt's 'ne Menge Schrauben, an denen man drehen kann. Zum einen natürlich die Konfiguration von rsyslogd. Vieles findet auch unter PAM statt (was ich für reichlich unterdokumentiert halte). PAM ist auch unter systemd nicht abgeschrieben, da muss man immer mal nen Blick reinwerfen. Konkret sind das:
[*]/etc/pam.d, für Dich vor allem /etc/pam.d/su
[*]/usr/lib/pam.d

In /etc/pam.d/su lässt sich auch konfigurieren, ob das uralte Login-System mit Einstellungsmöglichkeiten in /etc/login.defs (mit-)genutzt werden soll. Wie ich LPIC kenne, fragen die diesen steinzeitlichen Kram auch gerne ab. (Meine Erfahrungen damit liegen aber ca. 20 Jahre zurück.)
Der Hauptunterschied zwischen etwas, was möglicherweise kaputtgehen könnte und etwas, was unmöglich kaputtgehen kann, besteht darin, dass sich bei allem, was unmöglich kaputtgehen kann, falls es doch kaputtgeht, normalerweise herausstellt, dass es unmöglich zerlegt oder repariert werden kann.
Douglas Adams

Antworten