Fiquei curioso para saber se existem 3 ou 4 pessoas que têm acesso root a um nó. uma das pessoas iniciou um trabalho para execução, mas alguém eliminou o trabalho que estava em execução. qual seria a melhor maneira de identificar a pessoa que encerrou o trabalho/processo porque todo mundo tem acesso root.
Responder1
Impossível sem a auditoria adequada habilitada. Sem auditoria, você só pode adivinhar com base em carimbos de data e hora exatamente quando o trabalho foi encerrado (se você tiver essas informações) e quais usuários estavam logados. Acho que eles estão logando como usuários normais e usando algo como suou sudopara se tornarem root.
Sobre auditoria - o básico seria ter um script de login para root que definiria um arquivo de histórico diferente com base em quem está mudando para root. Para uma auditoria mais sofisticada (o próprio kernel registra qual usuário faz o quê), pesquise no Google por "auditoria do Linux".