Какой-то пользователь на моем сервере просто удалил файл, я хочу узнать, кто это сделал. Просматривать историю каждого невозможно, и команда не может быть такой простой, как rm -rf file .
Можно ли узнать, кто внес последние изменения в папку? Я нахожусь на Linux.
2
2 ответа
2
В общем, сложно определить, кто удалил файлы, кто изменил файлы, не зная о «системе журналирования» или предварительно настроенных событиях.
Попробуйте выяснить, кто вошел в тот момент, когда каталог был удален.
проверьте системный журнал ОС (/var/adm/syslog/syslog.log для hp-ux, /var /log /messages для linux)
Попробуйте последний коммандос, чтобы получить список тех, кто вошел в систему, когда
Проверьте историю команд sidadm, пользователя root, используйте команду history или псевдоним h
Проверьте, есть ли запущенные скрипты, которые регулярно удаляют файлы
Также Вы можете посмотреть на ваших пользователей. bash_history, предполагая, что они используют bash:
Выполните следующие команды в терминале:
cd /home
find `ls`/.bash_history -exec /usr/bin/grep "deleted-filename" {} /dev/null \;
это файл, который может удалить только пользователь root, затем посмотрите на .bash_history пользователя root, но затем вы должны выяснить, кто был зарегистрирован как пользователь root или имеет права root. Для этого вам может помочь команда last root | more
Поскольку каталог trans может быть подключен по NFS к другим серверам, возможно, вам также потребуется выполнить проверки там.
Также для будущего использования установите любые решения SIEM с открытым исходным кодом, такие как alienvault и т.д., Которые могут помочь вам поддерживать и регистрировать события.
0
Шаг 1: включить учет процессов.
Шаг 2: включите фашистское ведение журнала tty add/enable pam_tty_audit.so в вашей системе pam system-auth
Шаг 3: поиск активности пользователя с помощью ausearch