Назад | Перейти на главную страницу

Как узнать, какой пользователь SSH удалил мою папку?

В нашей лаборатории есть Linux-сервер, которым пользуются несколько разработчиков. Учетные данные сервера (НЕ root) известны всем, и они входят в систему с помощью SSH. Теперь, когда я вошел в систему сегодня, я просто понял, что кто-то удалил папку, над которой я работаю. Он был там до вчерашнего EOD, но теперь ушел. Как я могу узнать, кто удалил мою папку?

** РЕДАКТИРОВАТЬ: - ** Я только что обнаружил last команда с некоторыми greps он дает список IP-адресов, с которых пользователь вошел в систему, это отличная информация, однако она не решает полностью мою цель. Я просто хочу знать, кто удалил мою папку. Я просто хочу знать, охотно ли кто-то делает это, потому что это уже случалось раньше, и каждый раз восстанавливать все просто разочаровывает.

Вы не можете. Если вы являетесь администратором машины, вы можете включить функцию аудита, но это не помогает для прошлых событий.

Сделайте свои резервные копии. И поговорите со своим администратором, чтобы получить хорошую систему разрешений и / или аудита.

Я не уверен, возможно ли это на 100%, но я бы попытался восстановить время удаления из журнала файловой системы или даже всей папки из файловой системы (особенно, если файловая система - ext4). Затем вы можете сравнить время удаления с выводом «last». К сожалению, у меня есть только очень общее представление о том, как это сделать, поэтому, пожалуйста, проверьте возможность самостоятельно. Хорошим началом может быть:

http://spin.atomicobject.com/2012/06/29/restoring-deleted-files-from-the-ext3-journal/ http://www.linuxjournal.com/content/hack-and-forensics-ext4

Возможно, удастся увидеть точное время удаления файла из журнала.

Однако независимо от того, возможна такая криминалистика или нет, мне вся ситуация кажется странной. Я бы порекомендовал следующее:

  1. сохраняй спокойствие. Кажется, довольно сложно восстановить файлы или временную метку удаления, и вы должны быть на 100% уверены, прежде чем требовать кого-то. Может быть, кто-то сделал это неумышленно, тогда не стоит остро реагировать на это.
  2. попробуй поговорить со своими коллегами. Зачем вам нужна серьезная криминалистика, а не просто разговаривать с другими людьми?
  3. иметь резервную копию. Просто всегда имейте резервную копию.
  4. использовать разные учетные данные для разных пользователей. Как вы теперь видите, совместное использование одной учетной записи - не лучший вариант. Просто создайте больше учетных записей. Если серверов много - используйте LDAP для управления ими.
  5. исправить разрешения файловой системы. Поскольку у вас будут разные учетные записи для разных пользователей, вы можете управлять разрешениями на файлы, чтобы такие ситуации больше не были возможны.

Не существует полностью надежного способа выяснить это, поскольку существует множество механизмов, с помощью которых файлы могут быть удалены, и нет журнала всех операций с файлами.

Предполагая, что он удалил папку из оболочки, вы можете просмотреть файлы истории (/home/*/.*history) и посмотреть, найдете ли вы что-нибудь. Он будет содержать список команд, выдаваемых оболочкой.