Câu trả lời:
Nếu trước đây bạn chưa kích hoạt một số loại kiểm toán, thì không có công cụ nào có thể báo cáo điều này sau khi tệp đã được sửa đổi. Bạn có thể nhận được ngày và thời gian khi tệp được sửa đổi lần cuối, nhưng không phải là lịch sử sửa đổi.
Tiến về phía trước, bạn có thể cài đặt, thiết lập, kích hoạt auditd
gói.
Từ auditctl
trang người đàn ông:
-w path
Insert a watch for the file system object at path. You cannot insert
a watch to the top level directory. This is prohibited by the kernel.
Wildcards are not supported either and will generate a warning. The way
that watches work is by tracking the inode internally. If you place a
watch on a file, its the same as using the -F path option on a
syscall rule. If you place a watch on a directory, its the same as using
the -F dir option on a syscall rule. The -w form of writing watches
is for backwards compatibility and the syscall based form is more
expressive. Unlike most syscall auditing rules, watches do not impact
performance based on the number of rules sent to the kernel. The only
valid options when using a watch are the -p and -k. If you need to
anything fancy like audit a specific user accessing a file, then use
the syscall auditing form with the path or dir fields.
Có nhiều thảo luận về vấn đề này trong câu hỏi Ghi nhật ký tạo tệp ẩn
Ở đây một số thảo luận về hack với inotify để làm cho nó cung cấp cho bạn PID và UID. http://www.ioremap.net/node/55
Đồng thời xem Audit http://andries.filmer.nl/kb/Monitoring-file-system-events-with-inotify,-incron-and-authctl/129#Audit