Linux-Dateizugriffsüberwachung

Gibt es eine Möglichkeit in Unix herauszufinden, wer in der letzten Woche auf bestimmte Dateien zugegriffen hat? Es kann ein Benutzer oder ein Skript sein, das es an einen anderen Ort transportiert. Kann ich eine Liste mit Benutzernamen erhalten, die auf bestimmte Dateien zugegriffen haben? Wie kann ich herausfinden, wer auf eine bestimmte Datei zugreift?

Es sei denn, Sie verfügen über äußerst ungewöhnliche Protokollierungsrichtlinien. Wer auf welche Datei zugegriffen hat, wird nicht protokolliert (das wäre eine große Menge an Informationen). In den Systemprotokollen können Sie herausfinden, wer zu welchem ​​Zeitpunkt angemeldet war. Der lastBefehl gibt Ihnen den Anmeldeverlauf und andere Protokolle, die /var/log/auth.logIhnen Aufschluss darüber geben, wie Benutzer sich authentifiziert haben und von wo aus sie sich angemeldet haben (welches Terminal oder welcher Host, wenn remote).

Das Datum, an dem eine Datei zuletzt gelesen wurde, wird als Zugriffszeit oder kurz als Zeit bezeichnet . Alle Unix-Dateisysteme können es speichern, aber viele Systeme zeichnen es nicht auf, da es einen (normalerweise geringen) Leistungsverlust hat. ls -ltu /path/to/fileoder stat /path/to/filezeigt die Zugriffszeit der Datei an.

Wenn ein Benutzer auf die Datei zugegriffen hat und nicht versucht hat, seine Tracks zu verbergen, hat sein Shell-Verlauf ~/.bash_historymöglicherweise Hinweise.

Um herauszufinden, was oder wer gerade eine Datei geöffnet hat, verwenden Sie lsof /path/to/file.

Es gibt verschiedene Möglichkeiten, um zu protokollieren, was in Zukunft mit einer Datei passiert:

• Verwenden Sie inotifywait . inotifywait -e access /path/todruckt eine Zeile, /path/to/ ACCESS filewenn jemand liest file. Diese Schnittstelle sagt Ihnen nicht, wer auf die Datei zugegriffen hat. Sie können anrufen lsof /path/to/file, sobald diese Zeile angezeigt wird, es besteht jedoch eine Race-Bedingung (der Zugriff ist möglicherweise zu dem Zeitpunkt beendet, zu dem die Verbindung hergestellt wird).

• LoggedFS ist ein stapelbares Dateisystem, das eine Ansicht eines Dateisystembaums bietet und eine bessere Protokollierung aller Zugriffe über diese Ansicht durchführen kann. So konfigurieren Sie es finden LoggedFS Syntax der Konfigurationsdatei .

• Sie können Linux verwenden Audit - Subsystem zu protokollieren , eine große Anzahl von Dingen, einschließlich Dateisystem - Zugriffe. Stellen Sie sicher, dass der auditdDämon gestartet ist, und konfigurieren Sie dann, mit was Sie sich anmelden möchten auditctl. Jeder protokollierte Vorgang wird in /var/log/audit/audit.log(bei typischen Distributionen) aufgezeichnet . So starten Sie das Ansehen einer bestimmten Datei:

  auditctl -w /path/to/file
  

  Wenn Sie ein Verzeichnis überwachen, werden auch die darin enthaltenen Dateien und deren Unterverzeichnisse rekursiv überwacht.

Das obige Beispiel mit inotifywait sollte eines von folgenden sein (weitere Informationen finden Sie auf der Manpage):

inotifywait /path/to/file
inotifywait -e open /pat/to/file

Oder mit Überwachungsmodus und Zeitstempel:

inotifywait -m --format '%w:%e:%T' --timefmt '%F %T %Z %z'

Die vorherige Antwort ist nicht die beste Methode, um das zu tun, was Sie verlangen. Linux hat eine API dafür. Die inotifyAPI http://linux.die.net/man/7/inotify

1. Sie können ein C-Programm schreiben, um das zu tun, was Sie wollen, indem Sie die inotifyAPI direkt aufrufen
2. Sie können kfsmd, http://www.linux.com/archive/feature/124903, einen Daemon verwenden, der verwendetinotify
3. Wenn Sie plattformübergreifende Funktionen ( inotifyLinux-spezifisch) und Java verwenden möchten, funktioniert JNotify plattformübergreifend (Linux, Mac, Windows) und abstrahiert die zugrunde liegende API des nativen Betriebssystems.

Dies ist im Allgemeinen nicht möglich. Ich habe Dateisysteme mit genügend Auditing gesehen, um es auf die eine oder andere Weise zu ermöglichen, aber es ist keine allgemeine Unix-Sache, nein.