«ls -al показывает только имя пользователя, создавшего этот каталог». Нет. Показывает имя пользователя, который «владеет» этим каталогом.
Роджер Липскомб
1
@RogerLipscombe, который, если кто-то (ограниченный rootтолько на большинстве систем) не сделал a chownв каталоге, будет эффективным идентификатором процесса, который создал этот каталог.
Стефан
6
Конечно, обычно они одинаковы, но они не должны быть .
Роджер Липскомб
Ответы:
30
Это не та информация, которая обычно записывается, если только вы не проявили к этому особого отношения (например, через какую-то систему аудита).
Служба, через которую пользователь переименовал каталог (например, через FTP, SFTP, WebDAV, samba ...), может иметь журналы, которые могут помочь. Вы можете попробовать и проверить эти журналы, тем last, lastcomm, auditаутентификация регистрирует вокруг времени папка была переименована.
Если вы являетесь администратором, вы можете посмотреть файл истории оболочек пользователей, у которых были разрешения на его переименование (если каталог был переименован из /A/dirв /B/newdir, это тот, кто имел доступ на запись к обоим /Aи /B(при условии, /Aчто не имел tбит в своих разрешениях и /A/dirи /Bнаходится на одной файловой системе)).
Ты не можешь Поскольку переименование каталога (или файла) меняет запись в (родительском) каталоге, это должен был быть кто-то с правами на запись в этот каталог, но он нигде не зарегистрирован, кто изменяет файлы / каталоги.
LoggedFS - это файловая система на основе предохранителей, которая может регистрировать все операции, которые в ней происходят.
Как это работает ?
Предохранитель делает почти все. LoggedFS отправляет сообщение в системный журнал только при вызове fuse, а затем позволяет реальной файловой системе выполнить остальную часть работы.
Это доступно как deb в Ubuntu. Очень забавная вещь. Однако, когда вы попытаетесь использовать его на занятом сервере, он легко съест все ваше дисковое пространство.
rootтолько на большинстве систем) не сделал achownв каталоге, будет эффективным идентификатором процесса, который создал этот каталог.Ответы:
Это не та информация, которая обычно записывается, если только вы не проявили к этому особого отношения (например, через какую-то систему аудита).
Служба, через которую пользователь переименовал каталог (например, через FTP, SFTP, WebDAV, samba ...), может иметь журналы, которые могут помочь. Вы можете попробовать и проверить эти журналы, тем
last,lastcomm,auditаутентификация регистрирует вокруг времени папка была переименована.Если вы являетесь администратором, вы можете посмотреть файл истории оболочек пользователей, у которых были разрешения на его переименование (если каталог был переименован из
/A/dirв/B/newdir, это тот, кто имел доступ на запись к обоим/Aи/B(при условии,/Aчто не имелtбит в своих разрешениях и/A/dirи/Bнаходится на одной файловой системе)).источник
Ты не можешь Поскольку переименование каталога (или файла) меняет запись в (родительском) каталоге, это должен был быть кто-то с правами на запись в этот каталог, но он нигде не зарегистрирован, кто изменяет файлы / каталоги.
источник
Вы можете использовать loggedfs .
Это доступно как deb в Ubuntu. Очень забавная вещь. Однако, когда вы попытаетесь использовать его на занятом сервере, он легко съест все ваше дисковое пространство.
источник