Кто переименовал каталог?

Я не мог найти ответ на это нигде. Как я могу узнать, кто переименовал каталог?

ls -al показывает только имя пользователя, который создал этот каталог.

Это не та информация, которая обычно записывается, если только вы не проявили к этому особого отношения (например, через какую-то систему аудита).

Служба, через которую пользователь переименовал каталог (например, через FTP, SFTP, WebDAV, samba ...), может иметь журналы, которые могут помочь. Вы можете попробовать и проверить эти журналы, тем last, lastcomm, auditаутентификация регистрирует вокруг времени папка была переименована.

Если вы являетесь администратором, вы можете посмотреть файл истории оболочек пользователей, у которых были разрешения на его переименование (если каталог был переименован из /A/dirв /B/newdir, это тот, кто имел доступ на запись к обоим /Aи /B(при условии, /Aчто не имел tбит в своих разрешениях и /A/dirи /Bнаходится на одной файловой системе)).

Ты не можешь Поскольку переименование каталога (или файла) меняет запись в (родительском) каталоге, это должен был быть кто-то с правами на запись в этот каталог, но он нигде не зарегистрирован, кто изменяет файлы / каталоги.

Вы можете использовать loggedfs .

Описание

LoggedFS - это файловая система на основе предохранителей, которая может регистрировать все операции, которые в ней происходят.

Как это работает ?

Предохранитель делает почти все. LoggedFS отправляет сообщение в системный журнал только при вызове fuse, а затем позволяет реальной файловой системе выполнить остальную часть работы.

Это доступно как deb в Ubuntu. Очень забавная вещь. Однако, когда вы попытаетесь использовать его на занятом сервере, он легко съест все ваше дисковое пространство.