Como posso descobrir qual usuário excluiu um diretório?

Navegue suas respostas
8

Meu servidor Ubuntu tem cerca de 30 usuários ativos nele. Eu pessoalmente conheço todos usando o servidor. Recentemente, alguns amigos e eu estávamos trabalhando no projeto. Fizemos um novo diretório para o projeto e, como todo mundo conhece todo mundo, não nos preocupamos em proteger nosso trabalho sob um monte de permissões. Nós deveríamos ter, porque nós acordamos esta manhã para descobrir que alguém removeu nosso diretório inteiro.

Nosso trabalho é feito todas as noites, então não é um grande negócio restaurar nosso trabalho. No entanto, gostaríamos de descobrir quem o removeu para podermos enfrentá-lo. Até agora, a melhor coisa que descobrimos para encontrar nosso culpado é checar o histórico de todo mundo, mas isso é longo e tedioso e as chances são de que, se houvesse uma intenção maliciosa por trás da remoção do diretório, nosso culpado provavelmente modificasse o deles para cobrir seus rastros. (ou, claro, eles podem usar uma casca diferente).

Então, basicamente, qual é a maneira mais fácil e rápida de descobrir quem apagou um diretório?

Agradecemos antecipadamente pelo seu tempo.

    
por Rob S. 20.06.2011 / 16:42

2 respostas

5

Não encontrei uma resposta mágica à sua pergunta; parte dessa razão é detalhada aqui: link

Este comando simples pode ajudá-lo a rastrear o que aconteceu, pesquisando por rm & amp; Comandos mv em todos os arquivos históricos do shell em todos os diretórios home de usuários: 

find /home -type f -iname .*history -exec grep "rm\|mv" {} \;

É bom que você tenha um backup válido para salvá-lo, mas é altamente recomendável criar alguns grupos para pastas de projetos e apenas adicionar contas de usuários a esses grupos. isso vai lhe poupar muita dor no futuro.

Exemplo: adicione um grupo e adicione membros da equipe do projeto a ele 

groupadd coolproject
adduser jim coolproject
adduser joe coolproject
adduser charlie coolproject

defina as permissões corretamente de forma recursiva e garanta que o acesso seja encaminhado para a equipe, independentemente de quem criar / editar arquivos 

chown -R yourusername:coolproject /path/to/projectdir
find /path/to/projectdir -type d -exec chmod 2775 {} \;

(o 2 define a propriedade do grupo como "pegajosa", isso garante que o proprietário do grupo de qualquer projeto permaneça "coolproject") 

find /path/to/projectdir -type f -exec chmod 664 {} \;

Espero que ajude você a sair! B -)

    
por Chad Stovern 20.06.2011 / 19:35
1

Em teoria, é possível descobrir o tempo de exclusão, então isso pode diminuir os usuários.

Verifique as i_dtime nas especificações ext2 .

    
por arrange 20.06.2011 / 21:23

Tags

Como passar o arquivo como argumento no arquivo .desktop para o aplicativo wine Quantas instruções podem ser colocadas no iptables sem perder a sanidade do sistema?