CentOS 5 を使ってます。
httpd.conf のタイムスタンプを見ると以下の結果でした。
-rw-r--r-- 1 root root 9984 4月 15 15:35 httpd.conf
この時間にいじった覚えが無いので last コマンドでその辺りの
部分を見てみると以下となっていました。
info@kit ftpd13378 ::ffff:212.10.12 Thu Apr 15 16:26 - 16:26 (00:00)
shouhen pts/1 hoge.example.com Thu Apr 15 15:20 - 15:23 (00:03)
結果、誰もログインしていない時間帯だと思うのですが、
このような事ってあるのでしょうか?不正アタック?それとも ctime とか atime とかの関係で、
起こり得る?
unixやlinuxは、ログインしなくても、ファイルを編集できます。
たとえば
$ ssh ホスト名 vi httpd.conf
とすれば ログインせずに vi コマンドが起動でき、ファイル httpd.conf が編集できます。この場合ログインはしていないので、last コマンドの記録には残りません。
厳密な話は、マニュアルを見てください。
$ man last
このようにlastコマンドには罠があります。ですので、ちゃんと調べる際には last コマンドは使わずに、ユーザ認証のログファイルを確認します。たとえば
です。このようなログファイルには、
時刻 .... pam ... session opened for "ユーザ名"
という形で、プログラム(=session)の開始時刻や、接続元のIPアドレスが記録されています。
まずはこれらログファイルを調査しましょう。
ふむふむ。
当環境には auth.log はありませんでしたが、勉強になりました。
ありがとうございます!
で、
後で気付いたのですが、当方、Webmin の様なツールを使っています。
当時はこのツールを操作していたので、これが原因の可能性が高いです。
っていうかコレでした。トホホ…。
すみません。回答になっていないので却下です。
「誰か」は居ないハズというの質問しているので…