Записывает ли Linux, кто последний изменил файл (а не создал его)? Если так, как я узнаю это? Если нет, есть ли какой-нибудь способ мониторинга файлов?
источник
Записывает ли Linux, кто последний изменил файл (а не создал его)? Если так, как я узнаю это? Если нет, есть ли какой-нибудь способ мониторинга файлов?
Посмотрите, кто внес изменения в файл
Установите audit
пакет, используя менеджер пакетов для вашего дистрибутива, и запустите службу.
Установите часы для интересующего вас файла, такого как /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Смотрите audit
записи для этого файла
# ausearch -f /etc/passwd | less
Нет, нет записей о том, кто изменил какой файл.
Чтобы дать вам представление, вы можете проверить журналы, чтобы увидеть, кто был зарегистрирован в то время, и при идеальных обстоятельствах файлы истории могут быть изучены.