Mi servidor Ubuntu tiene aproximadamente 30 usuarios activos en él. Personalmente conozco a todos los que usan el servidor. Recientemente, algunos amigos y yo estábamos trabajando en el proyecto. Creamos un nuevo directorio para el proyecto y dado que todos conocen a todos, no nos molestamos en proteger nuestro trabajo bajo un montón de permisos. Sin embargo, deberíamos haberlo hecho, porque nos despertamos esta mañana para encontrar que alguien eliminó todo nuestro directorio.
Nuestro trabajo está respaldado todas las noches, por lo que realmente no es un gran problema restaurar nuestro trabajo. Sin embargo, nos gustaría saber quién lo eliminó para poder enfrentarlos. Hasta ahora, lo mejor que hemos encontrado para encontrar a nuestro culpable es verificar el historial de bash de todos, pero esto es largo y tedioso y es probable que si hubo una intención maliciosa detrás de la eliminación del directorio, nuestro culpable probablemente modificó el suyo para cubrir sus huellas. (o, por supuesto, podrían usar un shell diferente).
Entonces, básicamente, ¿cuál es la forma más fácil y rápida de averiguar quién eliminó un directorio?
Gracias de antemano por tu tiempo.
fuente
git
) o una carpeta encriptada (usando [gnome- ] encfs ) sincronizada con Ubuntu One o Dropbox.man auditctl
Respuestas:
No encontré una respuesta mágica a tu pregunta; parte de esa razón se detalla aquí: /superuser/178596/checking-user-command-history-in-unix
Este simple comando puede ayudarlo a rastrear lo que sucedió, buscando comandos rm & mv en todos los archivos de historial de shell en todos los directorios de inicio de los usuarios:
Es bueno que tenga una copia de seguridad válida para salvarlo, pero le recomiendo crear algunos grupos para carpetas de proyectos y simplemente agregar cuentas de usuario a esos grupos; eso te ahorrará mucho dolor en el futuro.
Ejemplo: agregar un grupo y agregar miembros del equipo del proyecto
establezca los permisos de manera recursiva y garantice el acceso del equipo en cualquier momento, independientemente de quién cree / edite los archivos
(el 2 establece la propiedad del grupo en "permanente", esto asegura que el propietario del grupo de cualquier proyecto siga siendo "coolproject")
Espero que te ayude! SI-)
fuente
En teoría, es posible averiguar el tiempo de eliminación, por lo que esto puede reducir los usuarios.
Verifique las
i_dtime
especificaciones en ext2 .fuente