Existe uma maneira de ver quais arquivos um usuário exclui durante seu trabalho diário. Eu sei sobre bash_history , mas eu me pergunto se há algo mais do que isso. A questão é sobre a instalação simples do servidor Ubuntu (presumivelmente qualquer Linux).
Se um user executar rm -fr dir1 em seu diretório inicial, haverá um log do evento? Eu tenho uma maneira de ativar facilmente esse recurso?
Edit: Posso descobrir antes de instalar qualquer coisa? Ambas as respostas são excelentes!
Obrigado
Para monitorar a manipulação do sistema de arquivos, você precisará usar o inotify ou o sistema de auditoria integrado com o kernel. Dê uma olhada em esta página para uma breve visão geral de suas opções. As páginas man para inotify e auditctl também são muito valiosas.
Esses processos informarão quando um determinado arquivo for alterado, seja ou não feito como um comando no histórico do usuário (por exemplo, por meio de um gerenciador de arquivos da GUI, etc.).
Você pode ativar a contabilidade de processos para fazer isso.
apt-get install acct
Depois de instalado, você poderá ver todos os comandos executados por um usuário usando lastcomm username . man lastcomm para mais opções.