史记

## su历史文件在哪里？

简介

`su` 命令 (substitute user) 用于切换到另一个用户的帐户。 然而，`su` 本身并不直接记录其命令历史。 `su` 的行为取决于系统的配置和所使用的 shell。 要找到 `su` 命令的历史记录，我们需要查看其他日志文件或根据使用的 shell 调整策略。### 1. `bash` shell 的历史记录如果使用 `bash` shell，`su` 命令执行后，你仍然在同一个 shell 会话中。 因此，`su` 命令本身不会出现在独立的日志文件中，但其执行的命令可能会记录在 `bash` 的历史记录中。 你需要检查当前用户的 `bash` 历史记录文件。

历史文件位置:

通常位于 `~/.bash_history`。 注意，这个文件只记录当前用户在当前 shell 会话中的命令历史。 如果你通过 `su` 切换到另一个用户，然后在那个用户的 shell 中执行命令，这些命令将记录在

该用户

的 `~/.bash_history` 文件中。

查看历史记录:

使用 `cat ~/.bash_history` 命令（或者 `history` 命令）查看。### 2. 系统日志文件系统日志文件记录了系统层面发生的事件，这包括用户登录和 `su` 命令的执行。 然而，这些日志通常不会显示 `su` 命令执行的具体命令，而只记录切换用户的事件。

日志文件位置:

日志文件的位置因操作系统而异。 常见的日志文件包括：

`/var/log/auth.log` (或类似名称):

这个文件记录了身份验证相关的事件，包括用户登录和 `su` 命令。

`/var/log/secure` (或类似名称):

类似于 `auth.log`，但可能包含更多安全相关的细节。

`/var/log/messages` (或类似名称):

这是个比较通用的日志文件，可能会包含与 `su` 相关的条目。

查看日志文件:

你需要使用 `cat`, `less`, `grep` 等命令来查看这些日志文件。 例如，`grep "su" /var/log/auth.log` 会搜索 `auth.log` 文件中包含 "su" 的行。

注意:

直接查看这些日志文件可能需要 root 权限。### 3. `sudo` 命令如果使用的是 `sudo` 命令来提升权限，而不是 `su`，则日志记录方式可能不同。 `sudo` 通常有自己的日志文件，通常位于 `/var/log/sudo/` 目录下。 具体文件名取决于系统配置。### 4. 审计日志 (Audit Logging)在一些高度安全的环境中，系统管理员会启用审计日志。 审计日志能够记录更详细的系统活动，包括 `su` 命令的每一次执行及其相关的细节。 审计日志的位置和格式因操作系统和审计系统而异。

总结

`su` 命令本身不保存其命令历史。要查找与 `su` 相关的活动，需要检查用户的 shell 历史记录文件（`~/.bash_history`）和系统日志文件（`/var/log/auth.log`，`/var/log/secure` 等）。 对于更详细的审计信息，则需要检查审计日志。 记住，访问和查看这些日志文件可能需要 root 或管理员权限。 具体位置和文件名可能会根据你的操作系统和系统配置而有所不同。