Hallo Uwe,
Uwe Lingner wrote:
Nun meine Frage: der heilige Geist wird das wohl nicht gewesen sein,
der
da rumkonfiguriert hat.
Also hab ich meinen Kollegen verdächtigt er auch das root passwort hat.
In der bash history hab ich
dann gesehen dass das Kommando authconfig gestartet wurde. das war Zeile
9xx in der historyals ich ihm das
am Morgen nachweisen wollte.... begann die history mit Zeile 2xxx. und
der Teil mit den von ihm
abgesetzten kommandos war nicht mehr zu sehen.
Was ist da passiert ?? Wie konnte er die bash_history verändern ??? Kann
ich sonst noch irgendwo Spuren
finden, was er da gemacht hat, um welche Zeit....
echo "" > .bash_history ?
Jetzt mal ganz davon abgesehen, dass zwischen Administrator eine
Vertrauensbasis stehen sollte, kannst du fuer die Zukunft auf der
Maschine process accounting installieren.
Ein Howto dazu gibt es unter:
http://www.tldp.org/HOWTO/Process-Accounting/
Gruss,
Martin