Есть около 4 человек, которые знают мой пароль root.И кто-то удалил мой каталог кодов.

У нас есть единая система, где у каждого есть свой собственный каталог кодовой базы, и каждый ssh подключается к этой системе и работает над этим.

Я пытался заглянуть в историю ~/.bash_history. это показывает, что команда rm -rf была выполнена, но я не знаю, кто вошел в систему как пользователь root и удалил ее. Я также попробовал команду списка. Но, к сожалению, к этому моменту вошли 3 человека, и любой из них мог это сделать. Бухгалтерская информация тоже не помогла. Есть ли способ узнать?

Если нет, то как я могу написать какой-нибудь скрипт, который я могу запустить в фоновом режиме, который захватывает все команды, которые выдаются с IP-адреса (сеансы SSH) и в какое время.

|источник

2 ответа2

2

Проблема с историей history или подобными командами заключается в том, что они не показывают время, когда команды были введены.

last покажет вам, кто вошел в систему или все еще вошел в систему, но если три человека знают пароль пользователя root, все равно сложно сказать им appart.

Простой сценарий будет отправлять почту каждый раз, когда кто-то входит в систему. Поместите этот скрипт в .bash_profile, если вы используете bash. Но как только кто-то замечает этот скрипт и получает root-доступ, ничто не мешает ему изменить его или даже отправить поддельные почтовые программы.

В будущем я бы предложил использовать sudo (man sudo). Пользователи будут входить в систему со своей личной учетной записью, и если для определенных команд им потребуется разрешение root, они должны будут войти в него через sudo, и все будет зарегистрировано.

|источник
0

Даже если вы пишете сценарий для этого, и у одного из трех других есть права root, что может помешать им редактировать файл и скрывать свои преступления.

Итак, подведем итог: если вы не уверены в компетенции одного или нескольких других, то удалите их root-доступ (т. Е. Измените пароль и не сообщайте об этом человеку).

Также рекомендуется использовать root-доступ только в случае крайней необходимости. Также используйте что-то вроде SVN и механизм резервного копирования, чтобы вы не потеряли работу в течение нескольких дней (или меньше).

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .