Назад | Перейти на главную страницу

Где находится файл журнала Linux, содержащий информацию об удаленных учетных записях?

На тестовом сервере, над которым я работаю, были удалены две учетные записи. Это не будет злым - вероятно, их удалил другой отдел, считая, что они не нужны. Если я узнаю, кто, мы можем гарантировать, что они больше не удалят их :-)

Я ничего не могу найти в / var / messages, и у меня был быстрый поиск с помощью Google, который указал мне только на / etc / security (который не содержит журналов).

Есть идеи, где я могу посмотреть или нет подробностей об удалении аккаунта?

TIA

Посмотри, есть ли у тебя /var/log/auth.log (и его повороты). Там могут быть записи для deluser. К сожалению, вы не сказали, какой у вас дистрибутив.

Для этого не существует стандартного файла журнала. В зависимости от вашего дистрибутива / конфигурации все команды, выполняемые как sudo, могут регистрироваться, поэтому вы можете найти команду userdel в чем-то вроде auth.log, если вы используете Ubuntu.

Linux по умолчанию не учитывает это. Вы можете попытаться узнать, кто вошел в систему как root, например, запустить last и проверьте вывод. В качестве альтернативы вы можете просмотреть .bash_history всех пользователей (при условии, что bash является оболочкой по умолчанию для всех пользователей), чтобы найти следы.

О, и это больше похоже на Q для serverfault.

Попробуйте / var / log / secure * - у вас должно быть несколько недель входа в систему.

grep -i userdel /var/log/secure*

Проверьте историю оболочки root или любого другого пользователя, имеющего root-доступ.

Вы пробовали отправить электронное письмо всем пользователям, у которых есть разрешение на это на этом сервере? Иногда небольшая социальная инженерия выходит за рамки технического решения.

Теперь, сказав, что это хорошая причина не использовать общую учетную запись root, а использовать sudo, чтобы пользователи могли выполнять административные задачи, используя свою учетную запись. Поскольку все действия sudo регистрируются в /var/log/auth.log и могут упростить отслеживание этого, если они внесут изменения в командную строку. Если бы приложение с графическим интерфейсом использовалось для внесения этих изменений, все, что вы бы увидели в файлах журнала, было бы приложением, запущенным с повышенными привилегиями ... но любая операция, выполняемая с этим приложением, не будет видна.