Linux: Como encontrar quem emitiu um comando específico enquanto usa a conta root?

Navegue suas respostas
1

Há um servidor Linux CentOS 6.5 na minha empresa ao qual muitos funcionários têm acesso.

Mais do que isso, apesar de ser uma prática ruim conhecida, algumas pessoas estão trabalhando no servidor usando uma conta root.

Hoje, uma pasta inteira de um dos usuários foi chmod'ed 777 por alguém usando a conta root.

Existe uma maneira de descobrir qual IP estava conectado enquanto o comando foi emitido? e existe uma maneira de eu provar que esse IP foi o responsável pela mudança?

    
por Itai Ganot 04.08.2015 / 16:48

2 respostas

3

Você pode pesquisar /var/log/secure para obter os tempos de login. Se havia apenas um usuário no momento, é uma strong indicação que ele foi o culpado (mas não é necessário uma prova). Se houver mais usuários conectados, você não poderá identificar o IP incorreto dessa maneira.

Com os usuários compartilhando um nome de usuário, até mesmo o subsistema de auditoria não ajudará muito, eu acho.

Ter acesso root compartilhado em um ambiente em que nem todo mundo é totalmente confiável (e admitir que ele errou) é uma péssima ideia.

    
por 04.08.2015 / 17:13
1

Você pode tentar implementar o sudosh - link

Ele age como um videocassete, você pode ver os comandos que as pessoas executaram e quem exatamente o executou. Espero que isso ajude.

    
por 04.08.2015 / 17:21

Tags

falhou ao mapear segmento do objeto compartilhado: Não é possível alocar memória O AWS CloudFormation fornece chaves SSH de instância do EC2 a outros servidores