O Linux registra quem alterou um arquivo pela última vez (em vez de criá-lo)? Se sim, como faço para descobrir isso? Caso contrário, existe alguma maneira de monitorar os arquivos?
O Linux registra quem alterou um arquivo pela última vez (em vez de criá-lo)? Se sim, como faço para descobrir isso? Caso contrário, existe alguma maneira de monitorar os arquivos?
Respostas:
Veja quem fez alterações em um arquivo
Instale o audit
pacote usando o gerenciador de pacotes para sua distribuição e inicie o serviço.
Defina um relógio para um arquivo no qual você esteja interessado, como /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Veja os audit
registros para esse arquivo
# ausearch -f /etc/passwd | less
Não, não há registros de quem modificou qual arquivo.
Para ter uma idéia, você pode verificar os logs para ver quem estava conectado naquele momento e, em circunstâncias ideais, os arquivos de histórico podem ser examinados.