Ну, кажется, что X-Forwarded-for не работает хорошо на Вашу установку. Так, есть ли какая-либо особая причина Вас придерживаться haproxy? Кажется, что IPVS является большим количеством aproppriate для Ваших потребностей (я на самом деле использую ldirector, который в свою очередь использует ipvs).
Смотрите на:
http://kb.linuxvirtualserver.org/wiki/IPVS
и
http://www.vergenet.net/linux/ldirectord/
Используя IPVS в 'IP Tunneling' или 'Direct Routing' режим сохраняет адрес клиента.
Посмотрите, имеете ли Вы /var/log/auth.log
(и его вращения). Могут быть записи там для deluser
. К сожалению, Вы не сказали, какое распределение Вы выполняете.
Linux по умолчанию не имеет никакого учета этого. Вы могли бы попытаться узнать, кто вошел в систему как корень, например, выполненный last
и проверьте вывод. Кроме того, Вы могли бы просмотреть .bash_history всех пользователей (предполагающий, что удар является оболочкой по умолчанию всех пользователей) найти трассировки.
О, и это больше походит на Q для serverfault.
Нет никакого стандартного файла журнала для этого. В зависимости от Вашего распределения/конфигурации работают все команды, поскольку sudo мог бы быть зарегистрирован, таким образом, Вы смогли находить команду userdel в чем-то как auth.log при использовании Ubuntu.
Вы попытались послать электронное письмо всем пользователям, которые имеют разрешение сделать это на этом сервере? Иногда немного социальной инженерии идет далее, чем техническое решение.
Теперь сказавший, что это - серьезное основание не использовать общую корневую учетную запись, но использовать sudo, чтобы позволить пользователям делать задачи администрирования с помощью своей учетной записи. Поскольку все sudo действия зарегистрированы к /var/log/auth.log и сделали бы разыскивание этого довольно легким, если они внесли изменения на командной строке. Если бы gui приложение использовалось для внесения этих изменений всем, что Вы видели бы в файлах журнала, то было бы приложение, запускаемое с поднятыми полномочиями..., но любая операция, сделанная с тем приложением, не будет иметь никакой видимости.