bash_history Detektiv gesucht

Hallo zusammen, ich habe Gestern ein Problem gehabt: meine Cyrus user konnten Ihre mails nicht abholen. Als ich dem Problem nachging, stellte ich fest dass die user sich nicht authentifizieren konnten. Als ich dann weiter suchte, sah ich dass das Password shadowing abgestellt war in der Datei /etc/sysconfig/authconfig, dann hab ich das korrigiert und es lief wieder. Nun meine Frage: der heilige Geist wird das wohl nicht gewesen sein, der da rumkonfiguriert hat. Also hab ich meinen Kollegen verdächtigt er auch das root passwort hat. In der bash history hab ich dann gesehen dass das Kommando authconfig gestartet wurde. das war Zeile 9xx in der historyals ich ihm das am Morgen nachweisen wollte.... begann die history mit Zeile 2xxx. und der Teil mit den von ihm abgesetzten kommandos war nicht mehr zu sehen. Was ist da passiert ?? Wie konnte er die bash_history verändern ??? Kann ich sonst noch irgendwo Spuren finden, was er da gemacht hat, um welche Zeit.... Gruss Uwe