Sudo History 00 Featured Image

Cómo verificar el historial de Sudo en Linux

Cuando comparte su computadora con otros, y les ha otorgado acceso sudo, es prudente monitorear cómo la están usando. Afortunadamente, es fácil consultar el historial de Sudo. Veamos cómo.

El registro de autenticación

Muchos servicios de Linux mantienen registros para ayudar a solucionar problemas. Afortunadamente, entre otras cosas, también mantiene una lista detallada de precisamente la información que buscamos en este artículo. En esta lista, puede verificar quién y cuándo emitió qué comando usando sudo. Para encontrar esta información, si está utilizando una distribución basada en Debian o Ubuntu, ingrese lo siguiente en su terminal favorito:

sudo nano /var/log/auth.log

Historial de Sudo 01 Comando de registro de autenticación

En otras distribuciones la ubicación puede variar. Esta información podría estar en «/var/log/secure» o «/var/log/audit/audit.log». Puede encontrar la ubicación de este archivo de registro consultando el archivo de sudoer. Esto también se puede encontrar en un lugar diferente según la distribución. Por lo general, lo encontrará en «/etc/sudoers». Ábralo con su editor de texto favorito y busque la entrada del archivo de registro. Su valor es donde se encuentra el archivo que estamos buscando, por lo tanto, vuelva a mezclar el comando anterior para verificar el suyo.

Dar sentido al caos

El archivo de registro contendrá un montón de entradas que probablemente no sean de interés. Puede desplazarse y desplazarse por él o usar la función de búsqueda de su editor de texto para ubicar cada uso de sudo.

Historial de Sudo 02 Contenido del registro de autenticación

Sin embargo, es mejor si usas grep en cambio. De esta manera, puede filtrar el contenido del registro en función de una consulta simple. Para encontrar todas las entradas de sudo en él, use:

sudo grep sudo /var/log/auth.log

Recuerde actualizar la ruta del registro a la correcta para su distribución.

Historial de Sudo 03 Registro de autenticación Grep

Este comando mostrará los resultados directamente en su terminal.

Sudo History 04 Auth Log Grep Contenido

Si prefiere tenerlos en formato de archivo, agregue una redirección después del comando:

sudo grep sudo /var/log/auth.log > sudolist.txt

Cuando lo revise, encontrará una serie de entradas que contienen la fecha, la hora, el nombre de la computadora y el comando utilizado.

Golpe normal

Si solo está buscando todos los comandos escritos en el terminal, puede consultar el archivo «.bash_history» ubicado en la carpeta Inicio. Podría, por ejemplo, ingresar lo siguiente en una terminal:

sudo nano /home/USERNAME/.bash_history

Esto le mostrará todos los comandos que usted (u otros usuarios) ejecutan en la terminal.

Diarioctl

Con eso, otra forma de ver lo que hizo sudo es usar journalctl de systemd. En eso, este es un programa de registro del sistema que viene con cada distribución de Linux que usa systemd.

Ejemplo de Sudo History 05 Systemd

Estos incluyen no solo Debian y Ubuntu, sino también otras distribuciones populares como Arch Linux y Fedora. Como tal, journalctl puede ser una utilidad útil si ya está cambiando constantemente entre distribuciones de Linux basadas en systemd.

Sabiendo eso, usar journalctl para mirar los registros de sudo es increíblemente fácil. Primero, debe iniciar sesión en el usuario raíz o en una cuenta con privilegios de superusuario.

Historia de Sudo 06 Membresía de grupo

Ejecute el siguiente comando para ver todos los registros del programa sudo:

sudo journalctl -e /usr/bin/sudo

Hacer esto, a su vez, le indicará al programa journalctl que mire el programa sudo, busque todas las entradas del diario y luego imprima todos los registros que mencionan sudo. A partir de ahí, journalctl canalizará toda esa información al buscapersonas del sistema, donde podrá desplazarse fácilmente por todo el historial de registros relacionados con sudo.

Sudo History 07 Journalctl Contenido

Desde aquí, journalctl resaltará todas las instancias en las que un usuario invocó un comando sudo. Como se discutió anteriormente, esto puede ser útil si está tratando de arreglar un sistema multiusuario y desea saber quién ejecutó comandos privilegiados y cuándo.

Sudo History 08 Journalctl error destacado

Programas específicos de GUI

Sabiendo todo eso, también es posible leer los registros de sudo de su sistema a través de una interfaz dedicada que viene con su entorno de escritorio. Hacerlo de esta manera reduce la cantidad de complejidad y los comandos que necesita aprender para monitorear su sistema.

Una cosa importante a tener en cuenta es que estos programas siempre se incluirán en una instalación básica de un entorno de escritorio. Sin embargo, las distribuciones de Linux a menudo crean compilaciones personalizadas que no contienen estas utilidades más pequeñas. Como tal, primero deberá verificar si estas herramientas ya están instaladas en su sistema.

Registro de GNOME

los Registro de GNOME La utilidad es el registrador de sistema gráfico predeterminado para las distribuciones que utilizan el entorno de escritorio GNOME. Estos incluyen Ubuntu 21.10, 22.04 y Fedora 36.

Sudo Historia 09 Gnome Escritorio

Para comenzar a usar el programa, primero deberá abrir el menú de la aplicación. Desde allí, puede escribir «Registros» para buscar la Utilidad de registro de GNOME.

Historial de Sudo 10 Búsqueda de registros

Una vez abierto, el programa presentará una serie de pestañas donde puede verificar el registro de un aspecto particular de su sistema. Para verificar sus registros de sudo, deberá hacer clic en «Seguridad».

Ventana principal de registros de Sudo History 11 Gnome

Esto, a su vez, imprimirá toda la información de seguridad más reciente para su máquina. Esto incluye todos los procesos que se ejecutaron con privilegios de root, independientemente de si usa sudo o no. Desde aquí, puede presionar el ícono de lupa en la esquina superior derecha de la ventana para iniciar una búsqueda en todas estas entradas de registro.

Sudo History 12 Icono de búsqueda de registros de Gnome 1

Con eso, puede escribir la palabra «sudo» para decirle a GNOME Logs que solo desea ver los comandos y procesos que se ejecutaron a través de sudo.

Historial de Sudo 13 Registros de Gnome Historial de Sudo

KSystemLog

KSystemLog es la utilidad de registro predeterminada para distribuciones como Kubuntu 21.10, 22.04 y Manjaro KDE, todas las cuales usan el entorno KDE Plasma para su escritorio. Similar a GNOME Log, también es un programa con todas las funciones que puede proporcionar una vista amplia de su máquina.

Sudo History 14 Plasma Escritorio

Con eso, usar KSystemLog para ver el historial de sudo de su sistema es increíblemente fácil. Primero, debe abrir el Iniciador de aplicaciones haciendo clic en el ícono de Plasma en la esquina inferior izquierda de su pantalla.

Menú de la aplicación Sudo History 15 Plasma

Desde allí, puede escribir «KSystemLog» en la barra de búsqueda del iniciador. Esto, a su vez, buscará la utilidad y la ejecutará tan pronto como presione Entrar.

Sudo Historia 16 Plasma Ksystemlog Aterrizaje

Una vez hecho esto, KSystemLog mostrará inmediatamente un registro de los programas que se están ejecutando actualmente en el sistema. Desde aquí, puede escribir «sudo» en la barra de filtro para ver solo todos los registros que provienen de sudo.

Historia de Sudo 17 Plasma Ksystemlog Historia de Sudo

Registro del sistema MATE

Por último, Registro del sistema MATE es un programa de registro de GUI mínimo que viene de forma predeterminada en las distribuciones basadas en MATE. A diferencia de los registradores GUI anteriores, solo proporciona un explorador de archivos simple para todos los registros del sistema disponibles en la máquina. Como tal, MATE System Log puede parecer desalentador para que un principiante lo use correctamente.

Sudo History 18 Mate Escritorio

A pesar de eso, usar este programa para ver su registro de historial de sudo es relativamente sencillo. Para comenzar, primero debe abrir su Menú de aplicaciones haciendo clic en el botón Menú ubicado en la esquina superior izquierda de su escritorio.

Historial de Sudo 19 Menú de la aplicación Mate 1

Desde allí, puede enfocarse en la barra de búsqueda y escribir «Visor de archivos de registro». Esto le indicará a MATE que busque el programa de registro del sistema y lo ejecute.

Visor de archivos de registro de Sudo History 20 Landing

Una vez hecho esto, el programa Registro del sistema MATE enumerará todos los registros actuales disponibles en su sistema. Con eso, lo último que debe hacer para ver su historial de Sudo es hacer clic en «auth.log».

Como se describió anteriormente, este es el archivo de registro que toma nota de todos los comandos relacionados con sudo que se ejecutaron en su sistema. En mi caso, mostró que ejecuté recientemente una actualización del sistema en mi sistema a través de sudo.

Historial de Sudo 21 Visor de archivos de registro Historial de Sudo

Preguntas frecuentes

¿Es posible mostrar solo las últimas entradas de registro de sudo de journalctl?

¡Sí! Solo es posible mostrar una cantidad limitada de registros de journalctl. Esto puede ser especialmente útil si está manteniendo una máquina muy utilizada y solo desea conocer los últimos registros relacionados con sudo. Puedes ejecutar el siguiente comando en tu terminal:

sudo journalctl --lines=10 -e /usr/bin/sudo

Hacer esto le dirá a journalctl que solo desea que muestre las últimas 10 entradas relacionadas con sudo que registró mientras se ejecuta.

También es posible mostrar solo registros específicos de tiempo de journalctl. Este comando le indicará a journalctl que solo imprima todos los registros relacionados con sudo que se confirmaron entre ayer y hoy:

sudo journalctl --since=yesterday --until=today -e /usr/bin/sudo

No estoy usando Bash, ¿todavía es posible ver mi historial de Sudo?

Esto dependerá en gran medida del shell que esté utilizando actualmente. Sin embargo, en su mayor parte, cada shell del sistema debería poder producir un historial de ejecución de todos los comandos que ejecutó en su máquina.

Por ejemplo, el archivo de historial de los sistemas basados ​​en Debian suele estar etiquetado como “.history”. Como tal, puede abrir este archivo en lugar del predeterminado «.bash_history»

KSystemLog pregunta y niega mi contraseña cuando la abro, ¿está rota mi copia?

De forma predeterminada, KSystemLog intentará abrirse con privilegios elevados. Esto, a su vez, le permite no solo mostrar registros, sino también administrar los procesos que se están ejecutando actualmente en el sistema.

Por eso, KSystemLog siempre intentará ejecutarse como usuario root cuando lo abra por primera vez. Sin embargo, para lograr eso, primero necesita saber la contraseña de su cuenta raíz.

A pesar de eso, todavía es posible usar KSystemLog sin proporcionar privilegios de root. Para hacer eso, puede presionar el botón «Ignorar» cuando KSystemLog solicite privilegios elevados.

Credito de imagen: Unsplash

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Experto Geek - Tu Guía en Tendencias Tecnológicas