Est-ce que Linux enregistre qui a modifié un fichier en dernier (plutôt que de le créer)? Si oui, comment puis-je le savoir? Sinon, existe-t-il un moyen de surveiller les fichiers?
Est-ce que Linux enregistre qui a modifié un fichier en dernier (plutôt que de le créer)? Si oui, comment puis-je le savoir? Sinon, existe-t-il un moyen de surveiller les fichiers?
Réponses:
Voir qui a apporté des modifications à un fichier
Installez le auditpackage à l'aide du gestionnaire de packages pour votre distribution et démarrez le service.
Définissez une surveillance pour un fichier qui vous intéresse, tel que /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Voir les auditenregistrements de ce fichier
# ausearch -f /etc/passwd | less
Non, il n'y a aucune trace de qui a modifié quel fichier.
Pour vous donner une idée, vous pouvez consulter les journaux pour voir qui était connecté à ce moment-là, et dans des circonstances idéales, les fichiers d'historique peuvent être examinés.