Как узнать, какой пользователь удалил каталог?
На моем сервере Ubuntu около 30 активных пользователей. Я лично знаю всех, кто пользуется сервером. Недавно несколько друзей и я работали над проектом. Мы создали новый каталог для проекта, и, поскольку все знают всех, мы не заботились о защите нашей работы под кучей разрешений. Мы должны были это сделать, потому что сегодня утром мы проснулись, обнаружив, что кто-то удалил весь наш каталог.
Наша работа подкрепляется каждую ночь, поэтому на самом деле не очень важно восстановить нашу работу. Однако мы хотели бы узнать, кто их удалил, чтобы мы могли противостоять им. Пока что лучшая вещь, которую мы придумали для поиска нашего виновника, - это проверка истории каждого bash, но это долгий и утомительный, и есть вероятность, что если бы было устранено вредоносное намерение, которое наш преступник, вероятно, изменил их, чтобы покрыть их следы (или, конечно, они могут использовать другую оболочку).
Итак, в основном, что является самым простым и быстрым способом узнать, кто удалил каталог?
Заранее спасибо за ваш время.
2 ответа
Я не нашел волшебный ответ пули на ваш вопрос; часть этой причины подробно описана здесь: https://superuser.com/questions/178596/checking-user-command-history-in-unix
Эта простая команда может помочь вам отследить, что произошло, выполнить поиск для rm & amp; mv во всех файлах истории оболочки во всех домашних каталогах пользователей:
find /home -type f -iname .*history -exec grep "rm\|mv" {} \;
Хорошо, что у вас есть действующая резервная копия, чтобы сохранить вас, но я настоятельно рекомендую создать несколько групп для папок проекта и просто добавить учетные записи пользователей в эти группы; это будет сэкономить вам много боли в будущем.
Пример: добавьте группу и добавьте к ней членов команды проекта
groupadd coolproject
adduser jim coolproject
adduser joe coolproject
adduser charlie coolproject
правильно установите реплики и гарантируйте доступ вперед для команды, независимо от того, кто создает / редактирует файлы
chown -R yourusername:coolproject /path/to/projectdir
find /path/to/projectdir -type d -exec chmod 2775 {} \;
(2 устанавливает групповое владение «липким», это гарантирует, что владелец группы любых проектов останется «coolproject»)
find /path/to/projectdir -type f -exec chmod 664 {} \;
Надеюсь, что поможет тебе! B -
)-
1Благодаря! Я изменил вашу команду на " find / home-type f -iname. * history -print -exec grep " rm \ | mv " {} \; & Quot; поэтому я мог получить имена файлов истории, в которых появилась интересная информация. – Rob S. 21 June 2011 в 01:06
-
2отлично Роб! рад, что я мог бы помочь. знак равно – Chad Stovern 21 June 2011 в 20:48
В теории можно узнать время удаления, поэтому это может сузить пользователей.
Проверьте i_dtime в спецификациях ext2.