台灣最大程式設計社群網站
線上人數
1629
 
會員總數:245912
討論主題:189503
歡迎您免費加入會員
討論區列表 >> Linux / Unix >> 請問要如何查尋root執行過的command歷史紀錄?
[]  
[我要回覆]
1
回應主題 加入我的關注話題 檢舉此篇討論 將提問者加入個人黑名單
請問要如何查尋root執行過的command歷史紀錄?
價值 : 250 QP  點閱數:8069 回應數:11
樓主

mendy
門外漢
0 1
38 1
發送站內信

想知道root何時移除哪些user帳號?
本篇文章發表於2011-04-19 22:34
1樓
回應

towns
捐贈 VP 給 towns 檢舉此回應
如果要看root執行過的command歷史紀錄,用history這個指令,就會顯示了,可以透過指令知道,root做過什麼動作
本篇文章回覆於2011-04-20 07:47
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
2樓
作者回應

mendy
檢舉此回應
再請教一下,
若是透過視窗介面刪除使用者帳號會留存紀錄嗎?
本篇文章回覆於2011-04-20 21:59
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
3樓
回應

那顆爛蔥
捐贈 VP 給 那顆爛蔥 檢舉此回應
聰明的root(不知道是不是正牌的就是)
會簡單地做些擦屁股動作...
透過Webmin?
透過SSH?
透過Webrootkit?
簡單地砍了User shadow,password,group一類的?
你可能要透過一堆沒被砍掉或被疑忘掉的Log才會知道...
本篇文章回覆於2011-04-21 00:43
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
4樓
如果是 telnet/ssh/X-Terminal 這類文字介面進去的 也開個文字介面 "su -" 成該 user, 打 history 就看的到
(如果是我連去別人家 我通常會把我key過的東西拿掉)
他的 $HOME 目錄下 會有個隱藏的 history檔!
換句話說 如果你將該帳號砍掉!
他的 $HOME 目錄 也會一起被刪除
所以 你要找回她 $HOME下面的隱藏的 history log檔
也是不可能的了!!
只剩 該 user login時間的紀錄可以查
他 login 進來這段時間內做了些什麼 就 天知道了!

如果是透過 browser 進去操作的
可以去翻 http log 看他瀏覽過哪些 page 通常可以看出大概
/var/log/httpd/... access.log/error.log
這是系統紀錄
所以 該員帳號刪除後 這裡的 log 應該是還會存在
本篇文章回覆於2011-04-23 07:17
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
5樓
btw,
"想知道root何時移除哪些user帳號?"

單純用 history 也看不出來 那些指令是什麼時間做的
所以......

1.
可以看 "被刪除的user" 最後一次 login 時間 (ref: last)
刪帳號 肯定是在這時間點之後!

2.
可以去 /var/log/ 裡面挖寶
帳號被刪除之後,下次要再 login 一定會失敗
login fail 都會留下紀錄
Linux 是存在 /var/log/secure 裡面
其他 OS 請自己找
建議先學習 grep 用法
Ex:
# grep -l "[Ll]ogin [Ff]ail" /var/log/*

3.
某人帳號被刪除
也不一定是 root 搞得
某人知道 root 密碼
他只要用自己的 ID login
su 成 root
他一樣可以刪帳號
而且 如果只是用 "su" 而不是用 "su -"
他擁有 root 權限期間的所有指令
都還是存在他原帳號的 history log 中

4.
某人帳號被刪除
也不一定是 root 搞得
就算是 root 搞出來的 也不一定會有紀錄
而且 就算是 root 搞出來的 這個 root 自己搞不好也不知道他自己幹了這件事
For Exam:
我大學 跟學校申請 Sun 工作站帳號
申請完之後
覺得該工作站管理者管理的很糟糕
$PATH 竟然是 "." 放最前面
反映過了 也沒人理
我把自己的 $HOME 權限 改成了 "chmod 700 $HOME "
在自己的 $HOME/ 下面 寫了一隻 名叫 "ls" 的 shell script file
第一行 就是 rm /etc/passwd
接下來 rm -rf /home/*

我已經 chmod 700 $HOME
不具 root 權限的 user 是進不來的!
過了幾個月
突然大家都進不去
然後就貼出公告: 部分帳號毀損,修復中

可能情況是
1. root 亂逛街,逛到我家來 屎好
2. 機器已經被入侵, 駭客來我家逛大街 管理員完全不知道 也是屎好!
3. 真的硬碟有問題 屎好
本篇文章回覆於2011-04-23 11:11
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
6樓
回應

towns
捐贈 VP 給 towns 檢舉此回應
透過UI介面刪除使用者,與使用指令是相同的,當然會留下紀錄
本篇文章回覆於2011-04-27 14:26
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
7樓
透過UI介面刪除使用者,與使用指令是相同的,"當然"會留下紀錄
??
是嗎?
本篇文章回覆於2011-04-27 16:58
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
8樓
回應

towns
捐贈 VP 給 towns 檢舉此回應
啊呀!towns 是回2樓的問題
本篇文章回覆於2011-04-29 11:09
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
9樓
喔∼
我以為 您所謂的 UI 指的是 X-Win 下的App.

似乎不是每個App都會留下 log

就算是 text mode
1. 只要砍掉紀錄指令用的 ~/.bash_history
2. export HISTSIE=0
3. export HISTFILE=/dev/null
4. at xxx rm ~/.bash_history

.....etc.

直接 vi /etc/passwd /etc/group /etc/shadow
syslog 不會知道 你砍了哪個帳號
vim 會在你的目錄下 記錄你之前的動作/命令: ~/.viminfo
跟上述`處置`方法一樣.....


so.....
本篇文章回覆於2011-04-29 22:44
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
10樓
回應

towns
捐贈 VP 給 towns 檢舉此回應
9樓的大大你的暱稱讓towns不知道怎麼稱乎你呢!
將相關的log檔及歷史紀錄關閉,所有的紀錄都會不見,大概就只剩登出紀錄了 ^^",這樣什麼也查不到了
本篇文章回覆於2011-05-03 10:36
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
11樓
10f 大大 其實 我一開始用的 nickname 也不是這個
只是遇到一個 被大家公幹的某用戶
發現到他一天到晚在換 nickname (其實是同一人)
所以才知道 這邊可以亂換 nickname.....
(其實 你也搞不清楚我以前用哪個 nickname... 就算曾經跟我`交手`過)
我也是把他設定黑名單後 才發現(那`堆`不同的nickname)其實是同一個人.....


另, logout log 其實 也是可以清的喔! ;)

請善用小弟上述 list 出的某些 command...
本篇文章回覆於2011-05-04 22:24
== 簽名檔 ==
--未登入的會員無法查看對方簽名檔--
   
1

回覆
如要回應,請先登入.