Identifica quale amministratore ha cambiato i privilegi di un altro amministratore

3

Hai un po 'di problemi con le persone e un utente che ha l'amministratore ha cambiato i privilegi di un altro da admin a standard. Questa è un'ambientazione universitaria, ma l'associazione studentesca non è la rete dell'università; Sono il genitore dell'utente che è stato (temporaneamente) retrocesso; un po 'di esperienza come utente ma non come amministratore di sistemi Linux e Apple (oltre a Windows) ...

L'utente root non l'ha fatto e i privilegi sono stati ripristinati; l'utente root corrente però non ha esperienza come sysadmin. OS X conserva i file di registro che mostrano chi ha apportato questa modifica? supponendo di sì, quale file di log dovrebbe essere esaminato per ottenere queste informazioni (io ne ho bisogno, bisogna guardare i registri di ASL attraverso la console - ma quali log?) Non ho accesso al sistema e ho bisogno di descrivere questo a quelli che lo faranno ...

Qualsiasi aiuto sarebbe apprezzato.

    
posta Greenman 04.06.2015 - 19:47
fonte

1 risposta

1

Potresti anche essere in grado di raccogliere alcune informazioni dai log di controllo di BSM. I file di registro sono in / var / audit e sono visualizzati con praudit (8). Non conosco il formato del record di controllo per la modifica di un account, ma dovrebbero esserci alcuni indizi. Puoi controllare l'intervallo di date e cercare escalation di privilegi. La sezione di testo potrebbe contenere menzioni del nodo '/ Local / Default'.

    
risposta data 01.01.2017 - 23:56
fonte

Leggi altre domande sui tag