On Tue, 2008-06-24 at 21:02 -0500, kazabe wrote: > Tengo un servidor que solamente cumple funciones en la red local, sin tener > acceso a internet por ningun lado. Puntualmente sus funciones son publicar > una intranet, publicar directorios puntuales por FTP y correo interno. > Hace unas cuantas horas, he detectado que faltan muchos directorios con > documentos de caracter general de la empresa, pero he revisado el historial > de los unicos tres usuarios con acceso por shell al servidor, y no hay > ningun rastro de borrado de archivos, asi que solo se me ocurre que el > borrado se haya realizado por FTP.
En los .bash_history? Es facil omitirlos: $ mkdir secret $ rmdir secret $ kill -9 $$ y nada de eso quedara en el archivo... hay otras formas tb. > Como puedo encontrar un registro o algo que me indique en que momento se > borro la informacion, y algun indicio de quien lo hizo? sinceramente estoy > muy desorientado en ese tema. AFAIK, no tienes como si no configuraste el sistema antes. Aca hay un articulo: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html Esto seria suficiente para guardar modificaciones (escrituras) y borrado/cracion de archivos: $ sudo apt-get install auditd $ sudo auditctl -w /tmp/amartoq -p aw -- Aldrin Martoq <[EMAIL PROTECTED]> http://aldrinvideopodcast.podshow.com/
