В Linux есть ли способ узнать, какой пользователь обновил файл?

14

Записывает ли Linux, кто последний изменил файл (а не создал его)? Если так, как я узнаю это? Если нет, есть ли какой-нибудь способ мониторинга файлов?

Умбер Ферруле
источник

Ответы:

14

Посмотрите, кто внес изменения в файл

Установите auditпакет, используя менеджер пакетов для вашего дистрибутива, и запустите службу.

Установите часы для интересующего вас файла, такого как /etc/passwd

# auditctl -w /etc/passwd -p war -k password-file

Смотрите auditзаписи для этого файла

# ausearch -f /etc/passwd | less
Приостановлено до дальнейшего уведомления.
источник
1

Как правило, нет. Я никогда не пробовал, но если вы хотите отслеживать пользователей, обращающихся к определенному файлу, вы можете взглянуть на аудит

kolbusa
источник
0

Нет, нет записей о том, кто изменил какой файл.

Чтобы дать вам представление, вы можете проверить журналы, чтобы увидеть, кто был зарегистрирован в то время, и при идеальных обстоятельствах файлы истории могут быть изучены.

Мэтт Симмонс
источник