Registrando criações de arquivos ocultos [duplicados]

Question

Registrando criações de arquivos ocultos [duplicados]

#1 resposta do (5 votos)
#2 resposta do (2 votos)

4

Posso encontrar em algum lugar nos logs os horários de criação de arquivos ou diretórios ocultos no diretório / home / username / ?

Se não, posso usar algum aplicativo para registrar isso para mim? Ele deve conter o tempo de criação, nome do arquivo ou diretório e quem o criou (aplicativo ou usuário), classificado por hora e data.

logs audit

por xralf 09.05.2012 / 16:48

2 respostas

2

Não há arquivo de log que contenha informações sobre arquivos ou diretórios ocultos em seu diretório pessoal. Mas você pode ver o tempo de criação dos arquivos / diretórios usando, por exemplo, ls -l -c ou stat <file> .

Além de auditd , que foi mencionado em sua resposta, há inotifywait do inotify-tools

Para monitorar quaisquer criações de arquivos / diretórios no seu diretório home, execute

inotifywait -m -e create $HOME

Para observar alterações em subdiretórios, adicione o -r flag.

inotifywait não exibe o programa que realmente faz a mudança.

por 09.05.2012 / 18:45

Tags logs audit

Criptografar a palavra X para criptografia / etc / shadow Alias no .bashrc não parece aceitar um argumento [duplicado]

score 5 · Accepted Answer

Específico para o Linux, o pacote auditd deve ser capaz de fornecer as informações que você está procurando. Ele usa a funcionalidade de auditoria fornecida pelo kernel 2.6 e posterior. Aqui está um Guia rápido que é específico do SLES, mas lhe dará uma ideia de como auditd funciona e como configurá-lo.

Na página auditctl man:

-w path
    Insert  a  watch for the file system object at path. You cannot insert
    a watch to the top level directory. This is prohibited by the  kernel. 
    Wildcards  are not supported either and will generate a warning. The way
    that watches work is by tracking the inode internally. If you place a 
    watch on a file, its the same as  using  the  -F  path  option  on a 
    syscall rule. If you place a watch on a directory, its the same as using
    the -F dir option on a syscall rule.  The  -w form  of  writing watches 
    is for backwards compatibility and the syscall based form is more
    expressive. Unlike most syscall auditing rules,  watches  do  not impact
    performance  based on the number of rules sent to the kernel. The only 
    valid options when using a watch are the -p and -k. If you  need to     
    anything fancy like audit a specific user accessing a file, then use 
    the syscall auditing form with the path or dir fields.