如何识别可能对文件进行删除操作的用户?

如何识别可能对文件进行删除操作的用户?

有一个文件夹可供多个用户访问。如果有一个文件被删除,是否可以知道哪个用户删除了这个文件以及何时删除?谢谢。

答案1

是的。使用审计软件。一个流行的实现是auditor auditd。为了帮助“启动审计规则”,人们可以通过以下方式获取许多与软件审计相关的规则: 迪萨斯蒂格

尽管该超链接指向 RHEL6 (RedHat Linux 6) 的 STIG(安全技术实施指南),但它仍然是一个很好的安全性基线这将最适合您的 Linux 系统,也许需要一些插值来匹配您的 Linux。

该软件由 RedHat 开发,但适用于任何 Linux。有 有用的文档可用的。

相关内容