誰かにサーバにあるデータを消される。犯人を突き止めたい

会社で嫌がらせをされています。
CADのデータなのですが、私のデータを勝手に削除する者がいます。CADのデータは、サーバにある共有のディスクに保存するように運用されていますが、何者かが私のデータを削除します。恐らくサーバにリモートでログインして削除していると思います。
事務所では誰もがリモートでCADデータを取り出したりできるようにほとんどの人がパスワードを知っています。
サーバはSunOS 4.0です。
誰が私のデータを削除したか突き止める方法はありませんか。
リモートでログインしたパソコンのホスト名やIPアドレスを知る方法でもかまいません。
宜しくお願いします。

No.12 回答者： a-saitoh 回答日時： 2007/06/07 18:17

もうSUnOS4.0が身近にないので記憶で答えますが，

acctonコマンドです．

起動時に自動的にアカウンティングが始まるようにするには，
/etc/rcとか/etc/rc.local　の中で
accton
というコマンドがコメントアウトされているとおもいます．
そのコメントを外せばアカウンティングが始まります．

No.11 回答者： SuperAzusa 回答日時： 2007/06/07 02:05

サーバに対するroot権限を持っていて会社の許可をもらっている前提ですが、

No5さんの言うように、rmコマンドを別のコマンドにしてしまうのが
手っ取り早いかなと思います。

やり方としては、rmをリネームして（ex:org_rm等）自作した、rmから
引数をすべてorg_rmへ渡します。
org_rmへ渡す前に、必要な情報をログに吐きます。
というやり方です。

rmコマンドをperlで書けばこんな感じかなぁ？
Solarisが手元にないので、パスには自信がありませんが・・・・・

rmコマンド
#!/usr/bin/perl

$ORG_RM="/bin/org_rm";
$USER=`/usr/bin/who`;
($sec,$min,$hour,$mday,$mon,$year,$wday,$yday,$isdst) = localtime(time);
$year += 1900;
$mon += 1;
$Date="$year/$mon/$mday $hour:$min";
chomp $USER;
foreach(@ARGV){
$COMMAND = $COMMAND . " " . $_;
}
open(OUTPUT,">>/var/log/rm.log");
print OUTPUT "$Date $USER rm $COMMAND\n";
`$ORG_RM $COMMAND`;


ログファイル、作成した、rmコマンドに実行権や書き込み権をつけるのを忘れないようにしてください。
あと、エラーした場合には、パスがばれますけど・・・・・・

No.10 回答者： nazo-nazo 回答日時： 2006/10/19 23:15

後で、嫌な思いをしないように上司の指示を受け犯人探しをした方が宜しいかと思います。

＞リモートでログインしたパソコンのホスト名やIPアドレスを知る方法＞でもかまいません
簡単な方法としてログインスクリプト（例えば、/etc/profile等）を変更すればIP、ログイン名、ログインした時間などをファイルにおとす事が可能です。

No.9 回答者： young-dude 回答日時： 2006/10/10 00:47

管理者権限は、お持ちでしょうか？

お持ちでなければ、そのサーバーの管理者に相談すれば
ログを見るなり、これから監視するなりの手段を
講じていただけると思います。

No.8 回答者： qaz_qwerty_me 回答日時： 2006/10/03 12:09

最大の問題点はシステム管理者が居ないことです！！

　他の方がアドバイスしているようにログを残して証拠的なリストを作ったとして、そのリストは偽造されたものだと反論されたらどうします？　システム管理者が居れば、その職権で偽造されていないと主張すれば、それなりに信頼されるでしょうが・・・一般ユーザーである御質問者様が　どのようなリストを作っても万民が認める証拠とは言いがたい気がします。

　まずは会社の上司の方と相談し、会社がシステム管理者と認定した人に、この問題を解決するように職務命令を出すことが解決の一歩ではと思います。

　その後は、psコマンドなどで実行されているコマンドのログを記録するなりして、証拠に基づいて対応すれば解決？　と思います。

No.7 回答者： saiph 回答日時： 2006/10/01 19:31

Sunではないので参考として書きますが、

WindowsServerでは日本語処理にトラブルがあり、
Server上のデータが違うフォルダに飛んだり
自動削除されたりしてました。

こういったバグが原因という事も考えられるので、
その人が犯人だと決め付けるのは早計かもしれません。

＞データが消されるタイミングもその人が会社に来ている時で、恐らくその人であると確信しています。

100%上記のタイミングならそうかも知れませんけどね。

No.6 回答者： Lean 回答日時： 2006/10/01 18:44

出来ればNo.4方が書いたようにプロセスアカウントを取れば何時そのホスト上のどのアカウント(ユーザ)がどのコマンドをいつどの端末で実行したかが分かると思います。

これだけだと根拠にかけるので、ログイン履歴(wtmp)も取られているとどのホスト(PC/マシン)からどの端末でログインして来たかが分かりますので、この情報とプロセスアカウントの情報から、どのホスト(PC/マシン)からアクセスして来たユーザがどのコマンドを実行したかを結びつけられます。

実際にどんなコマンドイメージで実行されたかは、NO.5の方が書かれたようにコマンドにラッパーをかぶせて日時、実行ユーザ、実行コマンドイメージ等をファイルに書き出すようなものを作成すればいいと思います。
私もこういう用途ではないですが、あるコマンドのラッパーを作成し、どのようなコマンドイメージで実行されたかをログに出力するコマンドを作成した事があるので可能だと思います。

この回答へのお礼

ありがとうございます。
SunOSですが、プロセスアカウントをONにする方法、ログイン履歴をとる方法を具体的に教えていただければありがたいです。

お礼日時：2006/10/02 02:51

No.5 回答者： Bonjin 回答日時： 2006/10/01 15:42

rmコマンドをログを出力しつつ従来のrmの動きを行うようなシェルなどに置き換えてみてはいかがでしょうか？（試したことがないのでちゃ

んと動くかわかりませんが・・・）

No.4 回答者： a-saitoh 回答日時： 2006/10/01 13:34

SunOS4.0とはふるいですね。

プロセスアカウント機能をオンにすると、誰がいつどのようなプログラムを動かしたかわかります。
それで、リモートログインしてrmコマンドをたたいているのなら、たたいた人と時刻はわかります。
ただ、rmの対象になったファイルがなにかはわかりませんが。。。

プロセスアカウント機能を使うときは定期的に記録を消すことを忘れないでください。ほうっておくとディスクがあふれます。

No.3 回答者： mtfoggy 回答日時： 2006/10/01 11:32

＞CADのデータなのですが、私のデータを勝手に削除する者がいます。

実は、あなたの操作ミスで消えているのでは？
他人が消している、という証拠を上げてください。

まずは、自分の作成したデータは、USBメモリーなどにバックアップする習慣を
身に付けましょう。