В моей компании есть сервер Linux CentOS 6.5, к которому имеют доступ многие сотрудники.
Более того, хотя это известная плохая практика, некоторые люди работают на сервере, используя учетную запись root.
Сегодня вся домашняя папка одного из пользователей была изменена 777 chmod'ом с помощью учетной записи root.
Есть ли способ узнать, какой IP-адрес был зарегистрирован во время выполнения команды? и могу ли я доказать, что именно этот IP-адрес был ответственен за изменение?
Вы можете заглянуть в /var/log/secure чтобы узнать время входа в систему. Если в то время был только один пользователь, это сильный индикация он был виновником (но не обязательно доказывать). Если там, где больше пользователей вошли в систему, вы не можете определить нарушающий IP таким образом.
Полагаю, если пользователи используют одно имя пользователя, даже подсистема аудита не очень поможет.
Иметь общий root-доступ в среде, где не всем полностью доверяют (и признают это, если он облажался) - крайне плохая идея.
Вы можете попробовать реализовать судош - http://sourceforge.net/projects/sudosh/
Он действует как видеомагнитофон, вы можете видеть команды, которые выполняли люди, и кто именно запускал его. Надеюсь это поможет.