bash_history Detektiv gesucht

[Friedhelm Betz]

Nabend,

> Hallo zusammen,
> 
> ich habe Gestern ein Problem gehabt: meine Cyrus user konnten Ihre mails 
> nicht
> abholen. Als ich dem Problem nachging, stellte ich fest dass die user 
> sich nicht
> authentifizieren konnten. Als ich dann weiter suchte, sah ich dass das 
> Password shadowing
> abgestellt war in der Datei /etc/sysconfig/authconfig, dann hab ich das 
> korrigiert und es lief wieder.
> 
> Nun meine Frage: der heilige Geist wird das wohl nicht gewesen sein, der 
> da rumkonfiguriert hat.
> Also hab ich meinen Kollegen verdächtigt er auch das root passwort hat. 
> In der bash history hab ich
> dann gesehen dass das Kommando authconfig gestartet wurde. das war Zeile 
> 9xx in der historyals ich ihm das
> am Morgen nachweisen wollte.... begann die history mit Zeile 2xxx. und 
> der Teil mit den von ihm
> abgesetzten kommandos war nicht mehr zu sehen.

> Was ist da passiert ?? Wie konnte er die bash_history verändern ???

editor bash_history? Oder einfach löschen, Zeilen entfernen etc.?
Oder ist die verschlüsselt?

> Kann 
> ich sonst noch irgendwo Spuren
> finden, was er da gemacht hat, um welche Zeit....

Falls geloggt wird, kannst Du rausfinden wann er sich eingeloggt hatte, 
ob das viel hilft?
Ansonsten fällt mir ohne Zusatztools nix ein ;-(

Schöne Grüße
Friedhelm