我的公司有一台 Linux CentOS 6.5 服务器,许多员工都可以访问。
不仅如此,尽管这是一种众所周知的不良做法,但有些人仍使用 root 帐户在服务器上工作。
今天,有人使用 root 帐户将某个用户的整个主文件夹的权限设置为 777。
有没有办法让我找到发出命令时登录的 IP?有没有办法让我证明这个 IP 是导致更改的 IP?
答案1
您可以查看/var/log/secure登录时间。如果当时只有一个用户,那么这是一个很强的指示他是罪魁祸首(但不一定是一个证据)。如果有更多用户登录,您无法通过这种方式识别出违规 IP。
我想,如果用户共享一个用户名,即使是审计子系统也帮不了你什么忙。
在并非每个人都完全受信任(如果搞砸了就会承认)的环境中拥有共享根访问权限是一个非常糟糕的想法。
答案2
您可以尝试实施 sudosh -http://sourceforge.net/projects/sudosh/
它的作用就像一台录像机,你可以看到人们运行的命令以及具体是谁运行的。希望这对你有所帮助。