Hallo, liebe user,

habe ein pikantes Problem: vermutlich liest unser admin (unerlaubt) Dateien mit (was er als root natürlich kann).
Nun verschlüssele ich natürlich die entsprechenden sensiblen Dateien.
Aber ich hätte gerne gewußt, ob ich nachkontrollieren kann, ob jemand versucht, meine Daten auszuspionieren (Word-Dokumente).
Ich habe user-eingeschränkte Terminalrechte, kann also eine shell öffnen usw.

Bitte um Hilfe !

Hans

Gibt es einen bestätigten Verdacht? Du könntest das höchsten über die Zeit des letztes Zugriffes sehen, also a_time. Guck die mal die Manpage von "find" an (man find). Damit kannst du dir alle Dateien anzeigen lassen, die in den letzten Minuten, Stunden, Tagen usw. geöffnet wurden.

Sobald eine Datei gelesen wird, wird ihre a_time (Timestamp des letzten Zugriffes) aktualisiert.

Falls auf der Partition keine Zugriffszeiten gespeichert werden kannst du dir mit "lsof | grep doc" anzeigen lassen, ob der Admin gerade eine doc-Datei geöffnet hat.

Hi,

Dir ist aber schon bewußt, daß differente Jobs (oftmals mit root Rechten) durchaus Deine Daten anfassen .... bspw. die AV-Software, die Backupsoftware, etc. Hinzu kommt, daß es, je nach Arbeitsvertrag, durchaus richtig sein kann, daß euer Admin stichprobenartig Einblick in eure Daten nimmt - es sind schließlich Firmendaten, und keine Privatdaten ... und da gab es schon so manch böse juristische Überraschung für den Angestellten ...
Solltest Du unternehmensrelevante Daten verschlüsseln, dann informiere Dich mal beim Betriebsrat/Vertrauensperson, wie sichergestellt werden kann, daß die Passphrase auch bspw. nach einem schweren Unfall deinerseits vom Unternehmen genutzt werden kann (um halt verschlüsselte Daten wieder zu entschlüsseln), etc. Auch bei solchen Versäumnissen gab es schon richtig Ärger ...
Wir hatten dazu bspw. versiegelte Umschläge mit Kennwörtern, Passphrasen, etc. bei unserem Unternehmensjustiziar hinterlegt, und diese alle paar Wochen entnommen, aktualisiert und erneut deponiert.

Gruß

Du könntest das höchsten über die Zeit des letztes Zugriffes sehen, also a_time.
Wirklich zuverlässig muss das Ergebnis aber nicht sein, da diese Zeiten verändert werden können.

Mit den hier gemachten Vorschlägen kannst du zwar dein Problem eingrenzen, aber wohl nicht ganz lösen.

Immerhin hat der Admin noch das Backup. Dort kann er immer deine Files ansehen - und das, ohne den eigentlichen Datenbestand zu ändern.