На тестовом сервере, над которым я работаю, были удалены две учетные записи. Это не будет злым - вероятно, их удалил другой отдел, считая, что они не нужны. Если я узнаю, кто, мы можем гарантировать, что они больше не удалят их :-)
Я ничего не могу найти в / var / messages, и у меня был быстрый поиск с помощью Google, который указал мне только на / etc / security (который не содержит журналов).
Есть идеи, где я могу посмотреть или нет подробностей об удалении аккаунта?
TIA
Посмотри, есть ли у тебя /var/log/auth.log
(и его повороты). Там могут быть записи для deluser
. К сожалению, вы не сказали, какой у вас дистрибутив.
Для этого не существует стандартного файла журнала. В зависимости от вашего дистрибутива / конфигурации все команды, выполняемые как sudo, могут регистрироваться, поэтому вы можете найти команду userdel в чем-то вроде auth.log, если вы используете Ubuntu.
Linux по умолчанию не учитывает это. Вы можете попытаться узнать, кто вошел в систему как root, например, запустить last
и проверьте вывод. В качестве альтернативы вы можете просмотреть .bash_history всех пользователей (при условии, что bash является оболочкой по умолчанию для всех пользователей), чтобы найти следы.
О, и это больше похоже на Q для serverfault.
Попробуйте / var / log / secure * - у вас должно быть несколько недель входа в систему.
grep -i userdel /var/log/secure*
Проверьте историю оболочки root или любого другого пользователя, имеющего root-доступ.
Вы пробовали отправить электронное письмо всем пользователям, у которых есть разрешение на это на этом сервере? Иногда небольшая социальная инженерия выходит за рамки технического решения.
Теперь, сказав, что это хорошая причина не использовать общую учетную запись root, а использовать sudo, чтобы пользователи могли выполнять административные задачи, используя свою учетную запись. Поскольку все действия sudo регистрируются в /var/log/auth.log и могут упростить отслеживание этого, если они внесут изменения в командную строку. Если бы приложение с графическим интерфейсом использовалось для внесения этих изменений, все, что вы бы увидели в файлах журнала, было бы приложением, запущенным с повышенными привилегиями ... но любая операция, выполняемая с этим приложением, не будет видна.