Linux có ghi lại người cuối cùng đã thay đổi một tệp (thay vì tạo nó) không? Nếu vậy, làm thế nào để tôi tìm ra điều này? Nếu không, có một số cách giám sát tập tin?
Linux có ghi lại người cuối cùng đã thay đổi một tệp (thay vì tạo nó) không? Nếu vậy, làm thế nào để tôi tìm ra điều này? Nếu không, có một số cách giám sát tập tin?
Câu trả lời:
Xem ai đã thực hiện thay đổi cho một tập tin
Cài đặt auditgói bằng trình quản lý gói cho phân phối của bạn và bắt đầu dịch vụ.
Đặt đồng hồ cho một tệp bạn quan tâm, chẳng hạn như /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Xem audithồ sơ cho tập tin đó
# ausearch -f /etc/passwd | less
Không, không có hồ sơ lưu trữ ai đã sửa đổi tập tin nào.
Để cung cấp cho bạn một ý tưởng, bạn có thể kiểm tra nhật ký để xem ai đã đăng nhập vào thời điểm đó và trong các trường hợp lý tưởng, các tệp lịch sử có thể được kiểm tra.