detectar quien borro mis archivos
Aldrin Martoq
amartoq en dcc.uchile.cl
Mie Jun 25 14:08:09 CLT 2008
On Tue, 2008-06-24 at 21:02 -0500, kazabe wrote:
> Tengo un servidor que solamente cumple funciones en la red local, sin tener
> acceso a internet por ningun lado. Puntualmente sus funciones son publicar
> una intranet, publicar directorios puntuales por FTP y correo interno.
> Hace unas cuantas horas, he detectado que faltan muchos directorios con
> documentos de caracter general de la empresa, pero he revisado el historial
> de los unicos tres usuarios con acceso por shell al servidor, y no hay
> ningun rastro de borrado de archivos, asi que solo se me ocurre que el
> borrado se haya realizado por FTP.
En los .bash_history? Es facil omitirlos:
$ mkdir secret
$ rmdir secret
$ kill -9 $$
y nada de eso quedara en el archivo... hay otras formas tb.
> Como puedo encontrar un registro o algo que me indique en que momento se
> borro la informacion, y algun indicio de quien lo hizo? sinceramente estoy
> muy desorientado en ese tema.
AFAIK, no tienes como si no configuraste el sistema antes. Aca hay un
articulo:
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
Esto seria suficiente para guardar modificaciones (escrituras) y
borrado/cracion de archivos:
$ sudo apt-get install auditd
$ sudo auditctl -w /tmp/amartoq -p aw
--
Aldrin Martoq <amartoq en dcc.uchile.cl>
http://aldrinvideopodcast.podshow.com/
Más información sobre la lista de distribución Linux