Existe uma maneira de ver quais arquivos um usuário deletou no Linux?

5

Existe uma maneira de ver quais arquivos um usuário exclui durante seu trabalho diário. Eu sei sobre bash_history , mas eu me pergunto se há algo mais do que isso. A questão é sobre a instalação simples do servidor Ubuntu (presumivelmente qualquer Linux).

Se um user executar rm -fr dir1 em seu diretório inicial, haverá um log do evento? Eu tenho uma maneira de ativar facilmente esse recurso?

Edit: Posso descobrir antes de instalar qualquer coisa? Ambas as respostas são excelentes!

Obrigado

    
por grs 05.05.2011 / 20:08

2 respostas

10

Para monitorar a manipulação do sistema de arquivos, você precisará usar o inotify ou o sistema de auditoria integrado com o kernel. Dê uma olhada em esta página para uma breve visão geral de suas opções. As páginas man para inotify e auditctl também são muito valiosas.

Esses processos informarão quando um determinado arquivo for alterado, seja ou não feito como um comando no histórico do usuário (por exemplo, por meio de um gerenciador de arquivos da GUI, etc.).

    
por 05.05.2011 / 20:16
7

Você pode ativar a contabilidade de processos para fazer isso.

apt-get install acct

Depois de instalado, você poderá ver todos os comandos executados por um usuário usando lastcomm username . man lastcomm para mais opções.

    
por 05.05.2011 / 20:13