Tenho algumas dúvidas sobre como visualizar quem acessou um arquivo.
Descobri que existem maneiras de ver se um arquivo foi acessado (não modificado / alterado) por meio do subsistema de auditoria e inotify.
No entanto, pelo que li on-line, de acordo com o seguinte: link
diz para 'assistir / monitorar' arquivo, eu tenho que definir um relógio usando o comando como:
# auditctl -w /etc/passwd -p war -k password-file
Então, se eu criar um novo arquivo ou diretório, eu tenho que usar o comando audit / inotify para 'set' watch primeiro para 'watch' quem acessou o novo arquivo?
Existe também uma maneira de saber se um diretório está sendo 'vigiado' por meio do subsistema de auditoria ou inotify? Como / onde posso verificar o log de um arquivo?
edit:
de outras pesquisas, encontrei esta página dizendo: link
A API inotify não fornece informações sobre o usuário ou processo que acionou o evento inotify.
Então, acho que isso significa que não consigo descobrir qual usuário acessou um arquivo? Apenas o subsistema de auditoria pode ser usado para descobrir quem acessou um arquivo?
Os logs do subsistema de auditoria são baseados em caminhos. Você pode colocar um relógio em um nome de arquivo, mesmo que esse arquivo não exista. Você receberá entradas de registro se o arquivo for criado e acessado.
Todos os registros de auditd são salvos em um arquivo (geralmente /var/log/audit/auditd.log ).
Você pode listar as regras de auditoria com auditctl -l .
Tags security monitoring linux