Linux บันทึกว่าใครเป็นผู้เปลี่ยนแปลงไฟล์ครั้งล่าสุด (แทนที่จะสร้างมัน)? ถ้าเป็นเช่นนั้นฉันจะทราบได้อย่างไร ถ้าไม่มีมีวิธีการตรวจสอบไฟล์บ้างไหม?
Linux บันทึกว่าใครเป็นผู้เปลี่ยนแปลงไฟล์ครั้งล่าสุด (แทนที่จะสร้างมัน)? ถ้าเป็นเช่นนั้นฉันจะทราบได้อย่างไร ถ้าไม่มีมีวิธีการตรวจสอบไฟล์บ้างไหม?
คำตอบ:
ดูว่าใครทำการเปลี่ยนแปลงกับไฟล์
ติดตั้งauditแพ็กเกจโดยใช้ตัวจัดการแพ็กเกจสำหรับการแจกจ่ายและเริ่มบริการ
ตั้งค่าการเฝ้าดูไฟล์ที่คุณสนใจเช่น /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
ดูauditบันทึกสำหรับไฟล์นั้น
# ausearch -f /etc/passwd | less
โดยทั่วไปแล้วไม่มี ฉันไม่เคยลองเลย แต่ถ้าคุณต้องการติดตามผู้ใช้ที่เข้าถึงไฟล์เฉพาะคุณสามารถตรวจสอบการตรวจสอบได้
ไม่ไม่มีการเก็บบันทึกว่าใครแก้ไขไฟล์ใด
เพื่อให้แนวคิดแก่คุณคุณอาจตรวจสอบบันทึกเพื่อดูว่าใครเข้าสู่ระบบในเวลานั้นและภายใต้สถานการณ์ที่เหมาะสมไฟล์ประวัติสามารถตรวจสอบได้