Как я могу узнать, какой пользователь удалил каталог?

Question 1

Мой сервер Ubuntu имеет о примерно 30 активных пользователях на нем. Я лично знаю всех использующие сервер. Недавно, несколько друзей и я работали над проектом. Мы сделали новый каталог для проекта и так как все знают всех, кого мы не потрудились защищать нашу работу под набором полномочий. Мы должны иметь, хотя, потому что мы проснулись этим утром, чтобы найти, что кто-то удалил наш весь каталог.

Наша работа сохраняется каждую ночь, таким образом, это - действительно не грандиозное предприятие восстановить нашу работу. Однако мы хотели бы узнать, кто удалил его так, мы можем противостоять им. До сих пор лучшая вещь, которую мы придумали для нахождения нашего преступника, проверяет общую историю удара, но это длинно и утомительно, и возможности состоят в том что, если было злонамеренное намерение позади удаления каталога, которое наш преступник, вероятно, изменил их для заметания следы (или конечно они могли бы использовать другую оболочку).

Так, в основном, каков самый легкий и самый быстрый способ узнать, кто удалил каталог?

Заранее спасибо в течение Вашего времени.

Question 2

Я не нашел ответ чудодейственного средства на Ваш вопрос; часть той причины детализирована здесь: https://superuser.com/questions/178596/checking-user-command-history-in-unix

Эта простая команда может помочь Вам разыскать то, что произошло, ища комнату и команды mv во всех файлах истории оболочки во всех пользовательских корневых каталогах:

find /home -type f -iname .*history -exec grep "rm\|mv" {} \;

Хорошо, что у Вас есть допустимое резервное копирование для сохранения Вас, но я настоятельно рекомендую создание некоторых групп для папок проекта и просто добавления учетных записей пользователей тем группам; это сохранит Вас много боли в будущем.

Пример: добавьте группу и добавьте членов проектной группы к ней

groupadd coolproject
adduser jim coolproject
adduser joe coolproject
adduser charlie coolproject

установите полномочия правильно рекурсивно и гарантируйте доступ, продвигающийся для команды независимо от того, кто создает/редактирует файлы

chown -R yourusername:coolproject /path/to/projectdir
find /path/to/projectdir -type d -exec chmod 2775 {} \;

(2 набора владение группы к "липкому", это удостоверяется владелец группы любых проектов, остаются "coolproject"),

find /path/to/projectdir -type f -exec chmod 664 {} \;

Надежда, которая выручает ya!B-)

Question 3

Question 4

В теории возможно узнать удалить время, таким образом, это может сузить пользователей.

Проверьте i_dtime в ext2 спецификациях.

Community · Accepted Answer · 23 November 2019 в 05:49