我有一台 centos 4 linux 服务器;包括我在内的三个人都知道 root 的密码。
今天登录服务器,切换到root的时候,发现/root目录没有了......
我如何恢复我的 /root 目录并找出谁删除了它?有什么方法可以让我了解谁登录了服务器以及他们所做的每项更改?
非常感谢您的任何回复。
答案1
恢复:我不知道,抱歉。你可以假设我对你应该备份发表了一些尖刻的评论 ;)
谁干的:假设每个人都在远程访问机器(最好通过 ssh),那么last应该告诉您最后登录的人的 IP 地址和用户名。
杂项:当您说 3 个人有 root 密码时:我是否可以推荐(如果您还没有这样做)您在文件PermitRootLogin no中设置sshd.conf并确保这些“管理员”使用 ssh 作为他们自己的帐户,然后使用su。这为您提供了另一层安全性以及一些更多的日志信息(而不仅仅是连接的“root”IP 地址,您会看到 Jon ssh 进入服务器然后获取 root 权限。
答案2
询问他们。如果他们不能被信任回答关于他们在机器上做了什么的问题,他们就不能被信任拥有 root 访问权限。
答案3
以 root 身份运行此命令:
root@host:/# grep rm /var/log/audit/audit.log
存储了很多信息/var/log/,审计日志对我很有用。
答案4
如果有更多的人知道 root 密码,那仍然不意味着它是其中之一。如果您的服务器暴露在互联网上并且没有更新安全补丁,它可能已被拥有。
调试此类问题的一个好方法是设置远程日志记录。如果攻击者获得控制权并进行恶意操作,他无法擦除日志来掩盖自己的罪行,因为它们不存储在同一台计算机上。