文件访问日期意外更改。元数据爬虫?

文件访问日期意外更改。元数据爬虫?

文件访问日期(读取日期)在没有人工干预的情况下发生变化是否正常?如果我没看错的话,这适用于 /home/myusername/ 下的所有文件,但不适用于系统文件。我的个人文件有一个最近的文件访问日期,看起来像是批处理的结果,因此同一分钟有多个文件,尽管我没有访问它们,也没有在文件访问日期复制它们。

当我想将文件附加到电子邮件中并在对话框中按“最近使用”排序以更快地选择文件时,我注意到了这种行为。列出的文件在特定日期和时间我没有使用过。这种行为从一开始就没有出现在我的系统中,它是大约 2 年前新安装的(没有升级)。问题开始于几周前。

Ubuntu 20.04 LTS 是否有一些元数据爬虫或守护程序,可以批量处理文件并更改其访问的每个文件的读取日期?还是我担心我的系统被入侵了?

文件更改日期保持不变。

如果这个问题很简单,我很抱歉,但我在 askubuntu 或网络上没有找到有关此问题的任何具体内容(但我发现了很多关于如何更改文件日期等的内容)

答案1

除非以某种方式访问​​,否则个人文件的访问日期/时间不会改变,这是不正常的...虽然使用某些应用程序浏览目录(例如电子邮件客户端附加对话框)确实可能会更改访问日期/时间,这对于以缩略图预览的图像和视频等文件类型尤其如此。

但是,默认情况下,谁或什么访问了某个文件本身并没有被记录下来...某些特定应用程序的日志中可能会留有痕迹,通常是系统文件而不是个人文件,仅此而已。

底线是,除非您针对某个文件/目录启用并激活审计服务,否则无法知道谁或什么访问了该文件。

您可以像这样设置审计:

sudo apt install auditd

然后,开始监视文件,如下所示:

sudo auditctl -w /path/to/file

或者目录(审计目录时要小心,因为日志文件的大小可能会变得非常大,尤其是对于 Home)像这样:

sudo auditctl -w /path/to/directory/

您可以列出当前审核的文件/目录条目,如下所示:

sudo auditctl -l

并删除这些条目,如下所示:

sudo auditctl -W file/directory

审计信息将会写入文件:

/var/log/audit/audit.log

您可以查看和搜索例如:

grep "something" /var/log/audit/audit.log

或者例如:

ausearch --file "file-name"

并获取报告,例如:

aureport

参考:

  • man auditd- Linux 审计守护进程。
  • man auditctl- 一个帮助控制内核审计系统的实用程序。
  • man ausearch- 查询审计守护进程日志的工具。
  • man aureport- 生成审计守护进程日志摘要报告的工具。

相关内容