우리는 Redhat을 사용하고 있으며 rm 명령줄을 실행한 세션 ID나 사용자 이름을 표시하는 방법이 있는지 궁금합니다. 최근 다른 팀의 누군가가 .jar 파일을 삭제했는데 나와 우리 팀이 누구인지 궁금합니다. 추가 소프트웨어를 설치하지 않고 알 수 있는 방법이 있나요?
답변1
각 팀 구성원의 셸 기록 파일(Bash를 사용하는 경우) 을 보고 .bash_history잘못된 명령을 찾았는지 확인할 수 있습니다. 단, 해당 명령을 삭제하여 추적을 은폐하지 않은 경우에는 가능합니다.
사용자가 sudo이전에 실행한 경우그리고/var/log/sudosudo 로깅이 활성화되어 있으며 문제가 있는 명령과 사용자를 찾을 수 있습니다 .
모든 사람이 루트 비밀번호를 알고 있고(나쁜!) 범인이 루트로 문제의 명령을 실행했다면 알 방법이 없습니다. 사후에 일부 소프트웨어를 설치하더라도 감사 도구를 미리 설정해야 합니다.