服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何知道哪个SSH用户删除了我的文件夹?
Intereting Posts
SQL 2008数据库镜像通过WAN链接与证书 如何授予用户运行“sudo sh”而不必input密码? 如何增加分区大小(不使用LVM)而不删除并重新添加 为什么我的cron作业在时钟返回时运行两次? 巨大的mem内核build议RHEL4 有没有testingnetworking服务器防火墙质量的项目/工具? 是限制服务器访问权限的VPN吗? dist-upgrade在libc6上失败,因为“kernel too old” build议我可以用firefox,Xvfb和selenium RC玩的“headless”linux dist? ISC dhcpd和任播IP助手的N路DHCP冗余 在login之前启动一个进程? (Linux)的 用SSH备份网站到异地的位置 如何使用Flask应用程序更新来更新网站 有没有办法在没有虚拟机的Mac Lion上设置Oracle? 在生产环境中恢复SQL数据库作为更新机制

如何知道哪个SSH用户删除了我的文件夹?

我们在我们的实验室里有一个由许多开发人员共享的Linux服务器。 服务器凭据(不是根)是所有人都知道的,他们使用SSHlogin。 现在,当我今天login时,我才意识到有人删除了我正在处理的文件夹。 直到昨天的EOD在那里,但现在已经走了。 我怎么知道谁删除了我的文件夹?

**编辑: – **我刚刚发现了last命令与一些greps它给出了一个用户login的IP列表,这是很好的信息,但它不能完全解决我的目的。 我只是想知道谁删除了我的文件夹。 我只是想知道,如果有人愿意这样做,因为它以前发生过,每次恢复一切只是令人沮丧。

你不能。 如果您是机器的pipe理员,则可以启用审计function,但这对于过去的事件没有帮助。

得到你的备份。 并与您的pipe理员谈谈,以获得一个良好的许可制度和/或审计到位。

我不确定是否100%可能,但是我会尝试从文件系统日志中恢复删除时间,甚至从文件系统中恢复整个文件夹(尤其是在文件系统是ext4的情况下)。 然后你可以比较删除时间和“last”的输出。 不幸的是,我只有一个非常基本的想法,所以请自己检查一下。 好的开始可能是:

http://spin.atomicobject.com/2012/06/29/restoring-deleted-files-from-the-ext3-journal/ http://www.linuxjournal.com/content/hack-and-forensics-ext4

也许有可能从日记中看到删除文件的确切时间。

不过,无论这种取证是否可能,整个情况似乎都比较严重。 我会推荐以下内容:

  1. 保持冷静 。 恢复文件或删除时间戳似乎相当困难,而且在声称某人之前应该100%确定。 也许有人这样做是非故意的,那么就没有必要过度反应了。
  2. 试着和你的同事谈谈 。 为什么你需要一个沉重的法医学,而不是与其他人交谈?
  3. 有一个备份 。 总是有一个备份。
  4. 为不同的用户使用不同的凭据 。 正如你现在看到的,合作使用一个帐户并不是一件好事。 只需创build更多的帐户。 如果有很多服务器 – 使用LDAP来pipe理它们。
  5. 修复文件系统权限 。 由于您将为不同的用户设置不同的帐户,因此您可以pipe理文件权限,以避免这种情况发生。

有没有完全万无一失的方法来解决这个问题,因为有许多机制可以删除文件,并没有所有文件操作的日志。

假设他从shell中删除了这个文件夹,你可以通过历史文件grep(/home/*/.*history)来查看是否find任何东西。 这将包含通过shell发出的命令列表。