誰がコマンドを実行したのかを知る方法はありますか?

誰がコマンドを実行したのかを知る方法はありますか?

私たちはRedhatを使用しており、rmコマンドラインを実行したセッションIDまたはユーザー名を表示する方法があるかどうか疑問に思います。最近、他のチームの誰かが.jarファイルを削除しましたが、私と私のチームが誰なのか疑問に思います。追加ソフトウェアをインストールせずに知る方法はありますか?

答え1

各チームメンバーのシェル履歴ファイル(Bashを使用している場合)を見て、間違ったコマンドが見つかったかどうか.bash_historyを確認できます。ただし、該当コマンドを削除してトレースを隠していない場合には可能です。

ユーザーがsudo以前に実行した場合そして/var/log/sudosudoロギングが有効になっており、問題のあるコマンドとユーザーを見つけることができます。

誰もがrootパスワードを知っていて(悪い!)、犯人がrootとして問題のコマンドを実行した場合、知る方法はありません。事後にいくつかのソフトウェアをインストールしても、監査ツールを事前設定する必要があります。

関連情報