Linux registra chi ha modificato per ultimo un file (anziché crearlo)? In tal caso, come posso scoprirlo? In caso contrario, esiste un modo per monitorare i file?
Linux registra chi ha modificato per ultimo un file (anziché crearlo)? In tal caso, come posso scoprirlo? In caso contrario, esiste un modo per monitorare i file?
Risposte:
Scopri chi ha apportato modifiche a un file
Installa il auditpacchetto usando il gestore pacchetti per la tua distribuzione e avvia il servizio.
Imposta un orologio per un file che ti interessa, ad esempio /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Vedi i auditrecord per quel file
# ausearch -f /etc/passwd | less
No, non esiste alcuna registrazione di chi ha modificato il file.
Per darti un'idea, potresti controllare i registri per vedere chi era connesso in quel momento e, in circostanze ideali, è possibile esaminare i file della cronologia.