Zeichnet Linux auf, wer eine Datei zuletzt geändert hat (anstatt sie zu erstellen)? Wenn ja, wie finde ich das heraus? Wenn nicht, gibt es eine Möglichkeit, Dateien zu überwachen?
Zeichnet Linux auf, wer eine Datei zuletzt geändert hat (anstatt sie zu erstellen)? Wenn ja, wie finde ich das heraus? Wenn nicht, gibt es eine Möglichkeit, Dateien zu überwachen?
Antworten:
Sehen Sie, wer Änderungen an einer Datei vorgenommen hat
Installieren Sie das audit
Paket mit dem Paket-Manager für Ihre Distribution und starten Sie den Dienst.
Stellen Sie eine Überwachung für eine Datei ein, an der Sie interessiert sind, z /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Siehe die audit
Aufzeichnungen für diese Datei
# ausearch -f /etc/passwd | less
Nein, es gibt keine Aufzeichnungen darüber, wer welche Datei geändert hat.
Um Ihnen eine Vorstellung zu geben, können Sie die Protokolle überprüfen, um festzustellen, wer zu diesem Zeitpunkt angemeldet war. Unter idealen Umständen können Verlaufsdateien überprüft werden.