Como posso recuperar meu diretório / root e descobrir quem o deletou?

recovery: Não faço ideia, desculpe. Você pode supor que eu fiz um comentário snippy sobre como você deve ter backups;)

who dun it: Supondo que todos estejam acessando a máquina remotamente (preferencialmente via ssh), então last deve informar o endereço IP e o nome de usuário das últimas pessoas para fazer logon.

misc: Quando você diz que 3 pessoas têm a senha de root: eu poderia recomendar (se você ainda não estiver fazendo isso) que você definiu PermitRootLogin no no arquivo sshd.conf e apenas faça Certifique-se de que estes 'admins' ssh são a sua própria conta e use su . Isso dá a você uma outra camada de segurança, bem como mais algumas informações de registro (em vez de apenas o endereço IP 'root' conectado, você veria Jon ssh no servidor e, em seguida, obteria privilégios de root.

Pergunte a eles. Se não for confiável para responder perguntas sobre o que eles fizeram na máquina, eles não poderão ser confiáveis com acesso root.

Execute este comando como root:

root@host:/# grep rm /var/log/audit/audit.log

Muitas informações são armazenadas em /var/log/ , e o registro de auditoria foi útil para mim.

Para recuperação, tente Test Disk

Se houver mais pessoas sabendo a senha do root, isso ainda não significa que foi uma delas. Se o seu servidor estiver exposto à Internet e não estiver atualizado com patches de segurança, ele pode ter sido de propriedade.

Uma boa prática para depurar esses problemas é configurar o log remoto. Se um invasor obtiver controle e fizer coisas ruins, ele não poderá limpar os logs para se proteger, porque eles não estão armazenados no mesmo computador.