我公司有一台Linux CentOS 6.5服务器,许多员工都可以访问。
更重要的是,即使这是一个已知的坏习惯,有些人正在使用root帐户在服务器上工作。
今天,其中一个用户的整个主文件夹已被某个使用root帐户的人修改了777。
有没有办法让我find命令发布时login的IP? 有没有办法certificate这个知识产权是变革的责任者呢?
您可以查看/var/log/secure来获取login时间。 如果当时只有一个用户,这是一个强烈的迹象,他是罪魁祸首(但没有必要certificate)。 如果有更多的用户login,则不能通过这种方式识别出有问题的IP。
用户共享一个用户名,我想,即使是审计子系统也不会有太大的帮助。
在不是每个人都完全信任的环境中共享root权限(并承认如果他搞砸了)是一个非常糟糕的主意。
你可以尝试执行sudosh – http://sourceforge.net/projects/sudosh/
它就像一台录像机一样,你可以看到人们跑的命令,以及谁运行的命令。 希望这可以帮助。