내 서버의 일부 사용자가 파일을 삭제했습니다. 누가 파일을 찾았는지 알고 싶습니다. 모든 사람의 역사를 겪는 것은 실현 가능하지 않으며 명령은 간단 할 수 없습니다 rm -rf file. 누가 폴더를 마지막으로 변경했는지 알 수 있습니까? 나는 리눅스에 있습니다.
답변
일반적으로 누가 파일을 삭제했는지, 누가 ‘로깅 시스템’또는 사전 구성된 이벤트를 알지 못하고 파일을 수정했는지 파악하기가 어렵습니다.
디렉토리가 삭제 될 때 누가 로그인했는지 확인하십시오.
OS syslog (hp-ux의 경우 /var/adm/syslog/syslog.log, Linux의 경우 / var / log / messages)를 확인하십시오.
마지막 코만도를 사용하여 언제 로그온했는지 확인 하십시오.
sidadm, root 사용자의 명령 기록을 확인하고 history 명령 또는 h 별명을 사용하십시오.
정기적으로 파일을 삭제하는 스크립트가 실행 중인지 확인
또한 사용자를 살펴볼 수 있습니다. bash를 사용한다고 가정하면 bash_history :
터미널에서 아래 명령을 실행하십시오.
cd /home
find `ls`/.bash_history -exec /usr/bin/grep "deleted-filename" {} /dev/null \;
그것은 루트만이 삭제할 수있는 파일이며 루트의 .bash_history를 살펴보십시오. 그러나 누가 루트로 로그인했는지 또는 루트로 su’ed했는지를 찾아야합니다. 이를 위해 last root | more 명령 이 도움이 될 수 있습니다.
trans 디렉토리가 다른 서버에 NFS 마운트되어있을 수 있으므로 점검도 수행해야합니다.
또한 향후 사용을 위해 이벤트를 유지하고 기록하는 데 도움이되는 alienvault와 같은 오픈 소스 SIEM 솔루션을 설치하십시오.
답변
1 단계 : 프로세스 계정 사용
2 단계 : pam 시스템 인증에서 tty add / enable pam_tty_audit.so의 파시스트 로깅 활성화
3 단계 : Ausearch를 사용하여 사용자 활동 검색