Czy Linux rejestruje, kto ostatnio zmienił plik (zamiast go utworzył)? Jeśli tak, to jak się tego dowiem? Jeśli nie, to czy istnieje jakiś sposób monitorowania plików?
Czy Linux rejestruje, kto ostatnio zmienił plik (zamiast go utworzył)? Jeśli tak, to jak się tego dowiem? Jeśli nie, to czy istnieje jakiś sposób monitorowania plików?
Odpowiedzi:
Zobacz, kto dokonał zmian w pliku
Zainstaluj auditpakiet za pomocą menedżera pakietów dla swojej dystrybucji i uruchom usługę.
Ustaw zegarek dla pliku, który Cię interesuje, np /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Zobacz auditrekordy dla tego pliku
# ausearch -f /etc/passwd | less
Nie, nie ma zapisu, kto zmodyfikował który plik.
Aby dać ci wyobrażenie, możesz sprawdzić dzienniki, aby zobaczyć, kto był zalogowany w tym czasie, aw idealnych okolicznościach pliki historii mogą zostać zbadane.