bash_history Detektiv gesucht
Friedhelm Betz
holliwell at gmx.net
Thu Sep 29 17:38:32 UTC 2005
Nabend,
> Hallo zusammen,
>
> ich habe Gestern ein Problem gehabt: meine Cyrus user konnten Ihre mails
> nicht
> abholen. Als ich dem Problem nachging, stellte ich fest dass die user
> sich nicht
> authentifizieren konnten. Als ich dann weiter suchte, sah ich dass das
> Password shadowing
> abgestellt war in der Datei /etc/sysconfig/authconfig, dann hab ich das
> korrigiert und es lief wieder.
>
> Nun meine Frage: der heilige Geist wird das wohl nicht gewesen sein, der
> da rumkonfiguriert hat.
> Also hab ich meinen Kollegen verdächtigt er auch das root passwort hat.
> In der bash history hab ich
> dann gesehen dass das Kommando authconfig gestartet wurde. das war Zeile
> 9xx in der historyals ich ihm das
> am Morgen nachweisen wollte.... begann die history mit Zeile 2xxx. und
> der Teil mit den von ihm
> abgesetzten kommandos war nicht mehr zu sehen.
> Was ist da passiert ?? Wie konnte er die bash_history verändern ???
editor bash_history? Oder einfach löschen, Zeilen entfernen etc.?
Oder ist die verschlüsselt?
> Kann
> ich sonst noch irgendwo Spuren
> finden, was er da gemacht hat, um welche Zeit....
Falls geloggt wird, kannst Du rausfinden wann er sich eingeloggt hatte,
ob das viel hilft?
Ansonsten fällt mir ohne Zusatztools nix ein ;-(
Schöne Grüße
Friedhelm
More information about the Fedora-de-list
mailing list