<div dir="ltr">If they're unable to read /etc/passwd and /etc/sudoers, that would be a problem.  But those files are only the start of who might have root privileges on a system: think about all the members of the sudoers group, for example, or all the people whose SSH keys allow them to log in as one of these accounts.  If you're using any sort of directory for authentication, you'll want to take that into account as well.  The output of 'getent passwd' and 'getent group' will take you a little closer to getting all the available system users.<div><br></div><div>John</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Apr 17, 2020 at 1:56 PM John Stoffel <<a href="mailto:john@stoffel.org">john@stoffel.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
John> What is the best way to provide proof to an audit person who<br>
John> needs to know all the root/sudo users for  a RHEL 6 server?<br>
<br>
It depends on what they take as "proof" of your audit process.  Our<br>
current auditors want screen shots of files with a clock in the<br>
corner, which makes *zero* sense, so we're working to educate them and<br>
to put a better system in place.<br>
<br>
It might be that tripwire is the possible solution, started off first<br>
in a very targeted way.  <br>
<br>
John> (I am new at this company, and don't have access to all their resources) <br>
<br>
John> We can provide the /etc/passwd   &   /etc/sudoers file   (the<br>
John> auditor may not know how to read these files)<br>
<br>
The probably don't *care* what the files say, but more "what is your<br>
process to monitor and keep track of changes?". And of course<br>
management of adding and removing acounts.<br>
<br>
John> We also have the RedHat  Identity Management  running here, but<br>
John> I am not familiar with this tool.<br>
<br>
Never used it.  Auditing is documenting a process and having controls<br>
and being able to show you use them and of course can justify them.<br>
<br>
John<br>
<br>
_______________________________________________<br>
bblisa mailing list<br>
<a href="mailto:bblisa@bblisa.org" target="_blank">bblisa@bblisa.org</a><br>
<a href="http://www.bblisa.org/mailman/listinfo/bblisa" rel="noreferrer" target="_blank">http://www.bblisa.org/mailman/listinfo/bblisa</a><br>
</blockquote></div>