- 締切済み
誰かにサーバにあるデータを消される。犯人を突き止めたい
会社で嫌がらせをされています。 CADのデータなのですが、私のデータを勝手に削除する者がいます。CADのデータは、サーバにある共有のディスクに保存するように運用されていますが、何者かが私のデータを削除します。恐らくサーバにリモートでログインして削除していると思います。 事務所では誰もがリモートでCADデータを取り出したりできるようにほとんどの人がパスワードを知っています。 サーバはSunOS 4.0です。 誰が私のデータを削除したか突き止める方法はありませんか。 リモートでログインしたパソコンのホスト名やIPアドレスを知る方法でもかまいません。 宜しくお願いします。
- imaimaimachi
- お礼率15% (4/26)
- Solaris系OS
- 回答数12
- ありがとう数22
- みんなの回答 (12)
- 専門家の回答
みんなの回答
- a-saitoh
- ベストアンサー率30% (524/1722)
もうSUnOS4.0が身近にないので記憶で答えますが, acctonコマンドです. 起動時に自動的にアカウンティングが始まるようにするには, /etc/rcとか/etc/rc.local の中で accton というコマンドがコメントアウトされているとおもいます. そのコメントを外せばアカウンティングが始まります.
- SuperAzusa
- ベストアンサー率36% (4/11)
サーバに対するroot権限を持っていて会社の許可をもらっている前提ですが、 No5さんの言うように、rmコマンドを別のコマンドにしてしまうのが 手っ取り早いかなと思います。 やり方としては、rmをリネームして(ex:org_rm等)自作した、rmから 引数をすべてorg_rmへ渡します。 org_rmへ渡す前に、必要な情報をログに吐きます。 というやり方です。 rmコマンドをperlで書けばこんな感じかなぁ? Solarisが手元にないので、パスには自信がありませんが・・・・・ rmコマンド #!/usr/bin/perl $ORG_RM="/bin/org_rm"; $USER=`/usr/bin/who`; ($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime(time); $year += 1900; $mon += 1; $Date="$year/$mon/$mday $hour:$min"; chomp $USER; foreach(@ARGV){ $COMMAND = $COMMAND . " " . $_; } open(OUTPUT,">>/var/log/rm.log"); print OUTPUT "$Date $USER rm $COMMAND\n"; `$ORG_RM $COMMAND`; ログファイル、作成した、rmコマンドに実行権や書き込み権をつけるのを忘れないようにしてください。 あと、エラーした場合には、パスがばれますけど・・・・・・
- nazo-nazo
- ベストアンサー率39% (17/43)
後で、嫌な思いをしないように上司の指示を受け犯人探しをした方が宜しいかと思います。 >リモートでログインしたパソコンのホスト名やIPアドレスを知る方法>でもかまいません 簡単な方法としてログインスクリプト(例えば、/etc/profile等)を変更すればIP、ログイン名、ログインした時間などをファイルにおとす事が可能です。
- young-dude
- ベストアンサー率100% (1/1)
管理者権限は、お持ちでしょうか? お持ちでなければ、そのサーバーの管理者に相談すれば ログを見るなり、これから監視するなりの手段を 講じていただけると思います。
- qaz_qwerty_me
- ベストアンサー率19% (214/1115)
最大の問題点はシステム管理者が居ないことです!! 他の方がアドバイスしているようにログを残して証拠的なリストを作ったとして、そのリストは偽造されたものだと反論されたらどうします? システム管理者が居れば、その職権で偽造されていないと主張すれば、それなりに信頼されるでしょうが・・・一般ユーザーである御質問者様が どのようなリストを作っても万民が認める証拠とは言いがたい気がします。 まずは会社の上司の方と相談し、会社がシステム管理者と認定した人に、この問題を解決するように職務命令を出すことが解決の一歩ではと思います。 その後は、psコマンドなどで実行されているコマンドのログを記録するなりして、証拠に基づいて対応すれば解決? と思います。
- saiph
- ベストアンサー率50% (16/32)
Sunではないので参考として書きますが、 WindowsServerでは日本語処理にトラブルがあり、 Server上のデータが違うフォルダに飛んだり 自動削除されたりしてました。 こういったバグが原因という事も考えられるので、 その人が犯人だと決め付けるのは早計かもしれません。 >データが消されるタイミングもその人が会社に来ている時で、恐らくその人であると確信しています。 100%上記のタイミングならそうかも知れませんけどね。
- Lean
- ベストアンサー率72% (435/603)
出来ればNo.4方が書いたようにプロセスアカウントを取れば何時そのホスト上のどのアカウント(ユーザ)がどのコマンドをいつどの端末で実行したかが分かると思います。 これだけだと根拠にかけるので、ログイン履歴(wtmp)も取られているとどのホスト(PC/マシン)からどの端末でログインして来たかが分かりますので、この情報とプロセスアカウントの情報から、どのホスト(PC/マシン)からアクセスして来たユーザがどのコマンドを実行したかを結びつけられます。 実際にどんなコマンドイメージで実行されたかは、NO.5の方が書かれたようにコマンドにラッパーをかぶせて日時、実行ユーザ、実行コマンドイメージ等をファイルに書き出すようなものを作成すればいいと思います。 私もこういう用途ではないですが、あるコマンドのラッパーを作成し、どのようなコマンドイメージで実行されたかをログに出力するコマンドを作成した事があるので可能だと思います。
- Bonjin
- ベストアンサー率43% (418/971)
rmコマンドをログを出力しつつ従来のrmの動きを行うようなシェルなどに置き換えてみてはいかがでしょうか?(試したことがないのでちゃんと動くかわかりませんが・・・)
- a-saitoh
- ベストアンサー率30% (524/1722)
SunOS4.0とはふるいですね。 プロセスアカウント機能をオンにすると、誰がいつどのようなプログラムを動かしたかわかります。 それで、リモートログインしてrmコマンドをたたいているのなら、たたいた人と時刻はわかります。 ただ、rmの対象になったファイルがなにかはわかりませんが。。。 プロセスアカウント機能を使うときは定期的に記録を消すことを忘れないでください。ほうっておくとディスクがあふれます。
- mtfoggy
- ベストアンサー率14% (37/255)
>CADのデータなのですが、私のデータを勝手に削除する者がいます。 実は、あなたの操作ミスで消えているのでは? 他人が消している、という証拠を上げてください。 まずは、自分の作成したデータは、USBメモリーなどにバックアップする習慣を 身に付けましょう。
- 1
- 2
関連するQ&A
- Windows Server でファイル共有
ネットワークの勉強を兼ねてDellのPowerEdge T110を購入したのですが、下記について解決できずに運用できずにいます。 ・リモートデスクトップ、の際に正確なAdministratorパスワードを入力しているにも関わらずログインできない。 ・ファイルサービスで共有フォルダを設定したが、匿名アクセスはできるがユーザーでの認証ができない。 以下がT110の詳細及び役割になります。 OS:Windows Server 2008 R2 Foundation IPアドレス:192.168.1.254 ・Active Directoryドメインサービス ・DNS ・DHCP ・IIS ・ファイルサービス 以下はクライアントになります。 ・Windows 7 Ultimate ・Windows XP Home Edition ・Windows XP Professional 上記3台ともリモートデスクトップ、ファイルサーバーのユーザー認証でつまずいています。ネットワークにて確認はできており、割り当てている固定IPへのpingも問題なく通ります。 ですが、ユーザー認証が関わる全ての場面でサーバー本体で入力した場合は問題のなくログインできるものが、リモートデスクトップ及びファイル共有では認証できません。 DHCP、DNSに関しては問題なく運用できているかと思います。 漠然としていて申し訳ありませんが、宜しくご教授お願いいたします。
- ベストアンサー
- ハードウェア・サーバー
- pcAnywhere11.5を使用して、社内からデータセンター上のサー
pcAnywhere11.5を使用して、社内からデータセンター上のサーバーを リモート操作していますが、 パスワードを何回も間違えてしまい、接続ができなくなってしまいました。 現状、クライアントのpcAnywhereからサーバーにつなごうとすると、 「選択したコンピュータが応答しません。接続を確立できません。」 となり終了してしまいます。 HPのサーバーなのでLights-Outで接続し、ホストのプロパティから 「ログインの再試行回数」というチェックを外しても「失敗したIPを遮断する時間」を 短くしても、回復しませんでした。 どこかに拒否IPリストなどあるのでしょうか? ちなみに、環境設定でのIPの制限は設けてません。 宜しくお願いします。
- ベストアンサー
- ネットワーク
- 自宅サーバにリモートからファイルをアップロードするには?
自宅サーバを立ち上げて、リモートのPCから自分のサーバのホームページを見てもらえるようにはなりましたが、 そのリモートのPCから自宅サーバにファイルをアップロードするにはどうすればいいのでしょうか? FFFTPなんかを使う場合、パスワード、ホスト名、ユーザ名はどう設定すればいいのでしょうか? またもっと簡単にリモートからアップロードしてもらう方法はあるでしょうか。
- ベストアンサー
- その他(インターネット接続・通信)
- サーバーのデータ復旧
サーバーの共有ファイルのデータを誤って削除してしまいました。クライアントPCからサーバーデータを削除したので、ごみ箱にも入っていません。フリーの「復元」「FINAL DATA」の評価版の2種類で試してみましたが、いずれも削除してしまったデータは見つかりません。古いデータはたくさん見つかるのですが…。これはもう、跡形もなく消えてしまったとあきらめるしかないのでしょうか?
- 締切済み
- その他([技術者向] コンピューター)
- データセンターと専用サーバー
現在固定回線を利用してサーバーを1台運用していますが、これをしっかりとしたデータセンターに設置して運用したいと考えているのですが、ところが調べても、いまいち、データセンターの回線とコストの兼ね合いが分かりません。 専用サーバーで検索するとピンきりですが、10MB共有で安くて7800円/月額、100MB共有で29800円/月額等の記載を見ます。 しかし、データセンターの100MB共有+1Uで探すと、3万円以上だったりします。 専用サーバー費<データセンター費となってしまいますが、専用サーバーを商売にしている会社はどのように利益をあげているのでしょうか。安いデータセンター等があるのでしょうか? 原則ラックで借りて、販売していくというのが基本なのでしょうか? 宜しくお願いします。
- 締切済み
- ハードウェア・サーバー
- FileMaker serverのデータ共有の仕方
利用環境ホスト:Windows server2008にFileMaker server 11 Advanced(以下FMSA) クライアント:Windows 7にFileMaker Pro 11 Advanced(以下FMA) となっています。今までFMAだけでファイル共有をしていましたが、FMSAを新たに導入した為、ホストとして管理しようと考えています。 FMAと同じ方法でIP指定を行いファイル共有しようとしましたがうまくいきません。FMSAでアップロードしたデータベースをどうやったら共有できるのでしょうか? 初歩的な質問で大変恐縮ですが、ご教授お願いします。
- ベストアンサー
- その他(データベース)
- Mac OS 10.4で「サーバーに接続」する際・・・
通常サーバーの中の共有フォルダーにアクセスする際、 「afp://サーバーのIPアドレス」を入力すると -->ログイン名とパスワードの入力 -->共有ファイルの選択 これでいきます。 ところが、いっきに行きたいとき 「afp://ログイン名:パスワード@192.x.x.1/サーバー名」 で直接行きます。 さてここからが問題です。 OS 10.4だと「言語」の選択ができます。(日本語とか英語後とか・・・) これが余計なおせっかいで、デフォルトだと「日本語」が選択されないようで、ファイルサーバーにアクセスしてもファイル名、フォルダー名の日本語部分が文字化けします。 「afp://ログイン名:パスワード@192.x.x.1(サーバーのIPアドレス)/共有ファイル名」+「日本語」が選択できる方法を教えて下さい。
- 締切済み
- Mac
- iMotion Server
ルータについて別で質問させていただきましたが、ソフトの設定についてこちらでもお聞きしたいと思います。 http://~/ ↑の~の部分にリモートホスト名が入るらしいのですが、このリモートホスト名というのはプライベートIPアドレスのことであっているのでしょうか? PCからだと接続できるのですが携帯からではサーバーのメンテナンス中と出て接続することが出来ません。 わかる方いらしたらよろしくお願いします。
- ベストアンサー
- フリーウェア・フリーソフト
- パソコンを買い替えたら、FFFTP でサーバに入れなくなってしまいまし
パソコンを買い替えたら、FFFTP でサーバに入れなくなってしまいました。 CentOS5.4 で自宅サーバを構築しています。クライアント機は、このたび Windows7 搭載のPC に買い替え、FFFTP (Ver 1.97a) をインストールしました。 FFFTP 設定の、ホストの設定名、ホストのアドレス にサーバ名、サーバのIPアドレスを入れ、ユーザ名、パスワードを入れてボタンを押しても 「ログインできません。正しいパスワードを入力してください。」 とのエラーが出てログインできません。 このユーザ名とパスワードで ssh では入ることができます。 /etc/vsftpd/ftpusers にはこのユーザ名は書いてありません。 /var/log/secure を見ると、 euid=0 tty=ftp ruser=xyz rhost=*****.localdomain user=xyz と、これだけが出ています。 何故ログインできないのでしょうか? どうすれば解決できるでしょうか? 大変困っています。よろしくお願いします。
- ベストアンサー
- Linux系OS
- 2003server 移行について
とある事情で2003serverから2003serverへの移行を検討中でして ひとつお聞きしたいことがございます ワークグループ環境で、共有フォルダがあり、 各クライアントは一度パスワードを入力し、以後パスワードを入力省く為に チェックボックスにチェックを入れた状態で、共有フォルダへアクセスしていました。 ホスト名・共有設定等、全く同じ環境を作成し移行したサーバーへ 各クライアントが共有フォルダへアクセスした際、パスワードは 聞かれるのでしょうか?聞かれないのでしょうか? よろしくお願いいたします。
- ベストアンサー
- ハードウェア・サーバー
お礼
ありがとうございます。 SunOSですが、プロセスアカウントをONにする方法、ログイン履歴をとる方法を具体的に教えていただければありがたいです。