No Linux, existe uma maneira de ver qual usuário atualizou um arquivo?

14

O Linux registra quem alterou pela última vez um arquivo (em vez de criá-lo)? Se sim, como faço para descobrir isso? Se não, existe alguma maneira de monitorar arquivo (s)?

    
por Umber Ferrule 22.07.2009 / 13:50

3 respostas

14

Veja quem fez alterações em um arquivo

Instale o pacote audit usando o gerenciador de pacotes para sua distribuição e inicie o serviço.

Defina um relógio para um arquivo de seu interesse, como /etc/passwd

# auditctl -w /etc/passwd -p war -k password-file

Veja os registros audit desse arquivo

# ausearch -f /etc/passwd | less
    
por 22.07.2009 / 14:21
1

Geralmente, não. Eu nunca tentei, mas se você quiser rastrear usuários acessando arquivos específicos, você pode dar uma olhada em auditoria

    
por 22.07.2009 / 14:08
0

Não, não há registro de quem modificou qual arquivo.

Para ter uma idéia, você pode verificar os logs para ver quem estava logado naquele momento e, em circunstâncias ideais, os arquivos de histórico podem ser examinados.

    
por 22.07.2009 / 14:10