ディレクトリを削除したユーザーを確認するにはどうすればよいですか？

私のUbuntuサーバーには約30人のアクティブユーザーがいます。私は個人的にサーバーを使用しているすべての人を知っています。最近、数人の友人と私はプロジェクトに取り組んでいました。私たちはプロジェクト用に新しいディレクトリを作成しました。誰もが知っているので、たくさんの権限の下で私たちの作業を保護しなかったのです。しかし、今朝目が覚めて、誰かがディレクトリ全体を削除したことを発見したので、私たちはそうすべきです。

私たちの仕事は毎晩バックアップされるので、仕事を復元することは本当に大したことではありません。しかし、私たちはそれらに立ち向かうことができるように誰がそれを削除したのかを知りたいのです。これまでのところ、犯人を見つけるために思いついた最善のことは、全員のbash履歴を確認することですが、これは長くて面倒であり、ディレクトリの削除の背後に悪意がある場合、犯人はおそらく自分のトラックをカバーするように改ざんしたでしょう。 （またはもちろん、別のシェルを使用する場合もあります）。

では、基本的に、誰がディレクトリを削除したかを知る最も簡単で迅速な方法は何ですか？

お時間をいただきありがとうございます。

あなたの質問に対する魔法の弾丸の答えは見つかりませんでした。その理由の一部はここで詳しく説明されています：https : //superuser.com/questions/178596/checking-user-command-history-in-unix

この簡単なコマンドは、何が起こったかを追跡し、すべてのユーザーのホームディレクトリにあるすべてのシェル履歴ファイルでrmおよびmvコマンドを検索するのに役立ちます。

find /home -type f -iname .*history -exec grep "rm\|mv" {} \;

保存するための有効なバックアップがあることは良いことですが、プロジェクトフォルダ用にいくつかのグループを作成し、それらのグループにユーザーアカウントを追加することを強くお勧めします。それはあなたに将来の多くの苦痛を救います。

例：グループを追加し、それにプロジェクトチームメンバーを追加する

groupadd coolproject
adduser jim coolproject
adduser joe coolproject
adduser charlie coolproject

権限を適切に再帰的に設定し、誰がファイルを作成/編集したかに関係なく、チームの今後のアクセスを保証する

chown -R yourusername:coolproject /path/to/projectdir
find /path/to/projectdir -type d -exec chmod 2775 {} \;

（2はグループの所有権を「固定」に設定します。これにより、プロジェクトのグループ所有者が「coolproject」のままであることを確認できます）

find /path/to/projectdir -type f -exec chmod 664 {} \;

お役に立てれば幸いです。B-）

理論的には、削除時間を見つけることができるため、これによりユーザーを絞り込むことができます。

i_dtime in ext2仕様を確認してください。