Como posso recuperar meu diretório / root e descobrir quem o deletou?

2

Eu tenho um servidor linux centos 4; Três pessoas têm a senha da raiz, inclusive eu.

Quando eu entrei no servidor e mudei para a raiz hoje, descobri que o diretório / root foi ...

Como posso recuperar meu diretório / root e descobrir quem o excluiu? Existe alguma maneira que eu possa saber quem logou no servidor e todas as mudanças que eles fizeram?

Muito obrigado por qualquer resposta.

    
por bluesea007 05.01.2010 / 06:44

5 respostas

5

recovery: Não faço ideia, desculpe. Você pode supor que eu fiz um comentário snippy sobre como você deve ter backups;)

who dun it: Supondo que todos estejam acessando a máquina remotamente (preferencialmente via ssh), então last deve informar o endereço IP e o nome de usuário das últimas pessoas para fazer logon.

misc: Quando você diz que 3 pessoas têm a senha de root: eu poderia recomendar (se você ainda não estiver fazendo isso) que você definiu PermitRootLogin no no arquivo sshd.conf e apenas faça Certifique-se de que estes 'admins' ssh são a sua própria conta e use su . Isso dá a você uma outra camada de segurança, bem como mais algumas informações de registro (em vez de apenas o endereço IP 'root' conectado, você veria Jon ssh no servidor e, em seguida, obteria privilégios de root.

    
por 05.01.2010 / 07:07
6

Pergunte a eles. Se não for confiável para responder perguntas sobre o que eles fizeram na máquina, eles não poderão ser confiáveis com acesso root.

    
por 05.01.2010 / 07:37
1

Execute este comando como root:

root@host:/# grep rm /var/log/audit/audit.log

Muitas informações são armazenadas em /var/log/ , e o registro de auditoria foi útil para mim.

    
por 15.09.2012 / 11:41
0

Para recuperação, tente Test Disk

    
por 05.01.2010 / 08:13
0

Se houver mais pessoas sabendo a senha do root, isso ainda não significa que foi uma delas. Se o seu servidor estiver exposto à Internet e não estiver atualizado com patches de segurança, ele pode ter sido de propriedade.

Uma boa prática para depurar esses problemas é configurar o log remoto. Se um invasor obtiver controle e fizer coisas ruins, ele não poderá limpar os logs para se proteger, porque eles não estão armazenados no mesmo computador.

    
por 05.01.2010 / 11:33

Tags