Записывает ли Linux, кто последний изменил файл (а не создал его)? Если так, как я узнаю это? Если нет, есть ли какой-нибудь способ мониторинга файлов?
Записывает ли Linux, кто последний изменил файл (а не создал его)? Если так, как я узнаю это? Если нет, есть ли какой-нибудь способ мониторинга файлов?
Ответы:
Посмотрите, кто внес изменения в файл
Установите auditпакет, используя менеджер пакетов для вашего дистрибутива, и запустите службу.
Установите часы для интересующего вас файла, такого как /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Смотрите auditзаписи для этого файла
# ausearch -f /etc/passwd | less
Нет, нет записей о том, кто изменил какой файл.
Чтобы дать вам представление, вы можете проверить журналы, чтобы увидеть, кто был зарегистрирован в то время, и при идеальных обстоятельствах файлы истории могут быть изучены.