В вашем распоряжении уже есть множество инструментов, на которые ваш вопрос (и эти ответы) намекают, например, на историю, snoopy, auddd, журналы sudo и т. Д. ... но если у вас есть "Подмножество учетных записей", которые используют люди, есть на сервере нет возможности сказать, кто что сделал. Единственный способ точно определить, кто это сделал, - это если пользователи имеют свои собственные компьютеры, которые они специально используют, и используют клавиатурные шпионы, чтобы сказать, что они физически печатали на этой клавиатуре.
Всякий раз, когда вы делитесь учетными записями, вы не можете сказать, что на самом деле происходит, поскольку вам потребуются дополнительные доказательства того, кто использовал вашу корневую учетную запись или учетную запись bob, или что бы ни делали ваши люди. Если вы пытаетесь выяснить, что произошло в конкретном инциденте, вам, возможно, придется пересмотреть свои политики и процедуры доступа, процедуры восстановления, а также оценить своих сотрудников и / или, при необходимости, провести переподготовку (или их надежность с помощью конфиденциальных учетных записей). чем непосредственно сосредоточиться на поиске того, кто что-то сделал, так как это может поглотить больше ресурсов, чем вы можете найти, чтобы найти человека, который сделал это.
В противном случае, возможно, вы захотите изучить методы судебно-медицинской экспертизы для отслеживания того, что произошло (создание образа диска, отслеживание журналов и т. Д.). Если вы не расследуете инцидент, изучите свои политики и внедрите лучшее отслеживание и проверку аккаунта (только у вас есть root, только Боб использует свою учетную запись, используя sudo, чтобы получить доступ к более высоким привилегиям, устанавливать и отслеживать audd и т. д.), и будьте осторожны, чтобы ваш круг не чувствовал себя так, будто его держат под микроскопом, или вы можете оттолкнуть людей, пытающихся чтобы сделать свою работу (или помешать им сделать свою работу).