大约有 4 个人知道我的 root 密码。并且有人删除了我的代码目录。
我们有一个单一系统,每个人都有自己的代码库目录,每个人都 ssh 到这个系统并在其上工作。
我尝试查看历史记录 ~/.bash_history。它显示 rm -rf 命令已执行,但我不知道是谁以 root 身份登录并删除了它。我也尝试过 list 命令。但不幸的是,当时有 3 个人登录,其中任何人都可能这样做了。会计信息也没有帮助。有什么办法可以找出答案吗?
如果没有,我该如何编写一些可以在后台运行的脚本来捕获从 IP 地址(SSH 会话)发出的所有命令以及在什么时间发出的命令。
答案1
历史记录或类似命令的问题history在于,它们不会显示输入命令的时间。
last将显示谁登录了或仍处于登录状态,但如果三个人都知道 root 密码,仍然很难区分他们。
一个简单的脚本就是每次有人登录时发送一封邮件。如果您使用的是 bash,请将此脚本放在 .bash_profile 中。但是,一旦有人注意到此脚本并拥有 root 访问权限,就没有什么可以阻止他们更改它甚至发送虚假邮件。
对于未来,我建议使用sudo(男人须藤)。用户将使用他们的个人帐户登录,如果他们需要 root 权限来执行某些命令,则必须通过 sudo 来执行,然后所有内容都会被记录下来。
答案2
即使你编写了一个脚本来执行此操作,并且其他三个人中的一个具有 root 权限,也无法阻止他们编辑文件并掩盖他们的罪行。
所以总而言之,如果您不确定其他一个或多个人的能力,则请删除他们的根访问权限(即更改密码并且不要告诉该个人)。
另外,最好只在绝对必要时才使用 root 访问权限。还可以使用 SVN 之类的工具和备份机制,这样最多损失一天的工作成果(或更少)