我正在使用的testing服务器已经删除了两个帐户。 这不会是恶意的 – 另一个部门可能会删除他们,认为他们不需要。 如果我能找出谁,我们可以确保他们不会再删除它们:-)
我在/ var / messages中找不到任何东西,并且使用google只search了/ etc / security(不包含任何日志)。
任何想法,我可以看看或没有任何细节保持帐户删除?
TIA
看看你是否有/var/log/auth.log (及其旋转)。 那里可能有条目。 不幸的是,你没有说你正在运行的是什么发行版。
默认的Linux没有这个帐户。 您可能会尝试找出以root身份login的人员,例如last运行并检查输出。 或者,您可以查看所有用户的.bash_history(假设bash是所有用户的默认shell)来查找跟踪。
哦,这听起来更像是一个服务器错误的Q.
没有标准的日志文件。 根据您的发行版/configuration,所有以sudo身份运行的命令都可能被logging下来,所以如果您使用的是Ubuntu,您可能会在auth.log中find一个userdel命令。
尝试/ var / log / secure * – 你应该有几个星期值得在那里login。
grep -i userdel /var/log/secure*
检查root或任何其他拥有root权限的用户的shell历史logging。
你有没有尝试发送电子邮件给所有有权在这台服务器上这样做的用户? 有时候,一个小小的社会工程不仅仅是技术解决scheme。
现在说这是一个很好的理由不使用共享的根帐户,而是使用sudo来允许用户使用他们的帐户执行pipe理任务。 由于所有的sudo操作都被logging到/var/log/auth.log中,并且如果他们在命令行上进行了更改,会使这种跟踪变得相当容易。 如果使用gui应用程序进行这些更改,则您在日志文件中看到的所有应用程序都将以提升的权限运行。但是,使用该应用程序执行的任何操作都不会有任何可见性。