2

Я нуб, и у меня есть несколько вопросов о том, кто просматривал файл.

Я обнаружил, что есть способы узнать, был ли файл доступен (не изменен / изменен) через подсистему аудита и inotify.

Тем не менее, из того, что я прочитал в Интернете, согласно здесь:http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

он говорит, чтобы «смотреть / контролировать» файл, я должен установить часы с помощью команды вроде:

# auditctl -w /etc/passwd -p war -k password-file

Поэтому, если я создаю новый файл или каталог, нужно ли мне использовать команду audit/inotify, чтобы «установить» watch сначала для «watch», кто получил доступ к новому файлу?

Также есть ли способ узнать, просматривается ли каталог через подсистему аудита или inotify? Как / где я могу проверить журнал файла?

редактировать:

от дальнейшего поиска в Google, я нашел эту страницу со словами:http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html

API inotify не предоставляет никакой информации о пользователе или процессе, который вызвал событие inotify.

Я думаю, это означает, что я не могу понять, какой пользователь получил доступ к файлу? Только подсистема аудита может быть использована, чтобы выяснить, кто получил доступ к файлу?

1 ответ1

0

Это метод грубой силы, но вы можете просмотреть .bash_history пользователя в его домашнем каталоге. Это будет хранить только определенное количество строк.

Это может работать, я не говорю, что это будет работать:

Это предполагает, что ваши домашние каталоги находятся в /home и что пользователь не удалил свой файл истории bash или не переместил свой файл истории.

for i in `ls /home/` do 

    echo "CURRENT USER IS $i"
    grep <filename> /home/$i/.bash_history | less 

done

это должно найти любые ссылки в истории bash пользователей на хостах.

Затем вы можете получить выходные данные last, чтобы увидеть, кто вошел в систему примерно в то время, когда метка времени проверяемого файла изменилась. Ищите время, близкое к времени, указанному в файле.

Вы также можете искать ссылки на команду echo или что-либо, использующее перенаправление, поскольку файл мог быть изменен с помощью перенаправления, т.е. echo "test"> file_I_should_not_edit или echo "foo" >> append_to_file_i_should_not_edit.

Хотел бы я сказать вам точный ответ на вашу проблему.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .