我在一个办公室与其他人一起进行数据分析,其中只有一个人拥有我们共享计算集群的 root 权限。有些人怀疑拥有 root 权限的人会进入其他人的目录查看他们的代码并在未经许可的情况下提取想法或片段。
Linux 中有没有办法查看哪个用户正在查看特定文件或文件夹?这可能有助于澄清怀疑。在这种情况下,如果怀疑 root 的活动,您建议采用哪种方法(可以由非 root 的人应用)?如果没有这个,就无法证明这个人正在这样做,所以任何建议都会有帮助。问候。
答案1
正如已经提到的,审计服务可能适合您,也可能不适合您。我会尝试的一个简单的事情是获取文件并使它们不可读(0200),并记录来自 的“更改”时间戳stat
。然后稍后检查相同的时间戳并将其与您的记录进行比较。如果管理员必须更改查看文件的权限,则时间戳将不匹配。
可能有解决方法,但您可能永远找不到方法来阻止 root 执行它想要的操作。在我看来,你唯一的选择就是找到管理员知识的空白并利用它。