私たちはRedhatを使用しており、rmコマンドラインを実行したセッションIDまたはユーザー名を表示する方法があるかどうか疑問に思います。最近、他のチームの誰かが.jarファイルを削除しましたが、私と私のチームが誰なのか疑問に思います。追加ソフトウェアをインストールせずに知る方法はありますか?
答え1
各チームメンバーのシェル履歴ファイル(Bashを使用している場合)を見て、間違ったコマンドが見つかったかどうか.bash_history
を確認できます。ただし、該当コマンドを削除してトレースを隠していない場合には可能です。
ユーザーがsudo
以前に実行した場合そして/var/log/sudo
sudoロギングが有効になっており、問題のあるコマンドとユーザーを見つけることができます。
誰もがrootパスワードを知っていて(悪い!)、犯人がrootとして問題のコマンドを実行した場合、知る方法はありません。事後にいくつかのソフトウェアをインストールしても、監査ツールを事前設定する必要があります。