我正在处理的测试服务器有两个帐户被删除。这不是恶意的 - 另一个部门可能认为它们不需要而删除了它们。如果我能找出是谁删除的,我们就可以确保他们不会再次删除它们 :-)
我在 /var/messages 中找不到任何内容,并且使用 google 进行了快速搜索,结果只指向 /etc/security(其中不包含任何日志)。
知道我可以在哪里查看吗?或者没有保留帐户删除的详细信息?
短暂性脑缺血发作
答案1
看看你是否有/var/log/auth.log
(及其轮换)。那里可能有条目deluser
。不幸的是,你没有说你正在运行什么发行版。
答案2
默认 Linux 不会对此进行记录。您可以尝试找出谁以 root 身份登录,例如运行last
并检查输出。或者,您可以查看所有用户的 .bash_history(假设 bash 是所有用户的默认 shell)以查找踪迹。
哦,这听起来更像是 serverfault 的 Q。
答案3
没有标准的日志文件。根据您的发行版/配置,所有以 sudo 运行的命令都可能被记录,因此如果您使用的是 Ubuntu,您可能可以在 auth.log 之类的文件中找到 userdel 命令。
答案4
检查 root 或具有 root 访问权限的任何其他用户的 shell 历史记录。