मुझे यह पता कैसे चलेगा कि कब और किसके द्वारा एक विशेष उपयोगकर्ता को लिनक्स में हटा दिया गया था?

मैं हाल ही में एक सिस्टम पर बहुत अजीब घटना में भाग गया हूं जिसका मैं उपयोग कर रहा हूं। बिना किसी स्पष्ट कारण के, मेरा उपयोगकर्ता खाता हटा दिया गया था, हालांकि होम डायरेक्टरी अभी भी है।

मेरे पास रूट एक्सेस है, इसलिए मैं खाते को पुनर्स्थापित कर सकता हूं, लेकिन पहले, मैं जानना चाहता हूं कि यह कैसे हुआ, और वास्तव में कब। रूट की .bash_history फ़ाइल और "अंतिम" कमांड का निरीक्षण करने से कुछ नहीं हुआ, और मैं सिस्टम पर एकमात्र sudoer हूं।

मुझे यह कैसे पता चलेगा कि यह विलोपन कब हुआ?

डिस्ट्रो CentOS रिलीज 5.4 (फाइनल) है, अगर यह मदद करता है।

यदि आप केवल sudoer हैं, और रूट के लिए कानूनी पहुंच वाला एकमात्र है, तो आपका सर्वर सभी संभावित खुर में था। बहुत से (कम कुशल) पटाखे काउंटर अकाउंट को रोकने के लिए रूट अकाउंट को डिलीट या डिसेबल कर देंगे। अपने डेटा का बैकअप लें और पुनर्स्थापित करें, या यदि आप सुरक्षा ऑडिट करने में सक्षम हैं और छेद वाले पटाखे का पता लगाएं, तो ऐसा करें।

यह वास्तव में इस बात पर निर्भर करता है कि इसे कैसे हटाया गया और अन्य उपयोगकर्ताओं के संबंध में, लेकिन यहां कुछ तकनीकों की कोशिश की जा सकती है:

• देखें कि क्या आपका उपयोगकर्ता अभी भी पासवार्ड में सूचीबद्ध है। यदि यह नहीं है, तो देखें कि क्या पासवार्ड नामक फाइल में, जो कि पासवार्ड से बना बैकअप है। अगर वहाँ में है, तो उस पुरानी फ़ाइल पर टाइमस्टैम्प संभवतः इंगित करेगा जब खाता हटा दिया गया था।
• यह संभव है कि विलोपन रूट या कुछ उपयोगकर्ता में है।
• यदि यह sudo या कुछ और के माध्यम से किया गया था, तो यह / var / log / संदेश में हो सकता है

यही सब मैं अभी सोच सकता हूं। संभवतः कुछ अन्य तकनीकें।