У меня crontabs запущен как пользователь ubuntu по умолчанию. Только сегодня я заметил, что весь мой crontab был удален и заменен обычным шаблоном, как и в случае, если вы выполните crontab -r
Некоторые заметки в журнале:
/ var / журнал / системный журнал
Mar 15 14:45:18 localhost crontab[4732]: (ubuntu) DELETE (ubuntu)
/var/log/auth.log
Mar 15 14:46:02 localhost sshd[4793]: Connection closed by 127.0.0.1 [preauth]
Mar 15 14:48:16 localhost sshd[4901]: Connection closed by 127.0.0.1 [preauth]
Это сервер EC2 за группой безопасности. SSH - это ключ, ограниченный только моим IP.
У меня есть сотрудники службы поддержки, которые выполняют некоторые действия с помощью webmin. Есть журналы, в которых один сотрудник выполнял cronjobs вручную около 11:00, но ничего между 11:00 и 14:45.
.bash_history для пользователя ubuntu ничего не показывает.
Как я мог узнать, что удалило crontab? Может быть, это ошибка в webmin, из-за которой длительное выполнение cron повредило файл crontab? У меня не был включен аудит файловой системы в webmin.