<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-15"
 http-equiv="Content-Type">
  <title></title>
</head>
<body bgcolor="#ffffff" text="#000000">
<font face="Helvetica, Arial, sans-serif">Hallo zusammen,<br>
<br>
ich habe Gestern ein Problem gehabt: meine Cyrus user konnten Ihre
mails nicht<br>
abholen. Als ich dem Problem nachging, stellte ich fest dass die user
sich nicht<br>
authentifizieren konnten. Als ich dann weiter suchte, sah ich dass das
Password shadowing<br>
abgestellt war in der Datei /etc/sysconfig/authconfig, dann hab ich das
korrigiert und es lief wieder.<br>
<br>
Nun meine Frage: der heilige Geist wird das wohl nicht gewesen sein,
der da rumkonfiguriert hat.<br>
Also hab ich meinen Kollegen verdächtigt er auch das root passwort hat.
In der bash history hab ich<br>
dann gesehen dass das Kommando authconfig gestartet wurde. das war
Zeile 9xx in der historyals ich ihm das<br>
am Morgen nachweisen wollte.... begann die history mit Zeile 2xxx. und
der Teil mit den von ihm<br>
abgesetzten kommandos war nicht mehr zu sehen.<br>
Was ist da passiert ?? Wie konnte er die bash_history verändern ???
Kann ich sonst noch irgendwo Spuren<br>
finden, was er da gemacht hat, um welche Zeit....<br>
<br>
<br>
Gruss Uwe<br>
</font>
</body>
</html>