Cómo identificar qué persona con acceso root ha eliminado un trabajo/proceso de un grupo

Cómo identificar qué persona con acceso root ha eliminado un trabajo/proceso de un grupo

Tenía curiosidad por saber si hay 3 o 4 personas que tienen acceso root a un nodo. Una de las personas inició un trabajo para ejecutarlo, pero alguien canceló el trabajo que se estaba ejecutando. ¿Cuál sería la mejor manera de identificar a la persona que eliminó el trabajo/proceso porque todos tienen acceso de root?

Respuesta1

Imposible sin la auditoría adecuada habilitada. Sin auditoría, solo puede adivinar, basándose en las marcas de tiempo, cuándo se eliminó exactamente el trabajo (si tiene dicha información) y qué usuarios iniciaron sesión. Supongo que están iniciando sesión como usuarios normales y usando algo como suo sudopara convertirse en root.

Acerca de la auditoría: lo básico sería tener un script de inicio de sesión para root que establecería un archivo de historial diferente según quién cambie a root. Para una auditoría más sofisticada (el propio kernel registra qué usuario hace qué), busque en Google "auditoría de Linux".

información relacionada