Hallo zusammen,
ich habe Gestern ein Problem gehabt: meine Cyrus user konnten Ihre mails
nicht
abholen. Als ich dem Problem nachging, stellte ich fest dass die user
sich nicht
authentifizieren konnten. Als ich dann weiter suchte, sah ich dass das
Password shadowing
abgestellt war in der Datei /etc/sysconfig/authconfig, dann hab ich das
korrigiert und es lief wieder.
Nun meine Frage: der heilige Geist wird das wohl nicht gewesen sein, der
da rumkonfiguriert hat.
Also hab ich meinen Kollegen verdächtigt er auch das root passwort hat.
In der bash history hab ich
dann gesehen dass das Kommando authconfig gestartet wurde. das war Zeile
9xx in der historyals ich ihm das
am Morgen nachweisen wollte.... begann die history mit Zeile 2xxx. und
der Teil mit den von ihm
abgesetzten kommandos war nicht mehr zu sehen.
Was ist da passiert ?? Wie konnte er die bash_history verändern ??? Kann
ich sonst noch irgendwo Spuren
finden, was er da gemacht hat, um welche Zeit....
Gruss Uwe