我如何才能知道谁最近打开了某个文件但目前可能没有将其保持打开状态?
有人有想法吗?
答案1
嗯,如果你的意思是过去,那么你可能不能,除非你开启了某种审计。
假设您没有,您可以查看文件和目录的权限,看看谁有访问权限。您可以 grep 每个人的 .bash_history 文件来查找文件名。
据我所知,就是这样。如果他们仍将其打开,您可以使用 lsof。
答案2
您可以使用审计按照另一个答案中的建议进行包装。一个简单的用法是:
auditctl -w /etc/passwd -p war -k 密码文件
它将关注瓦仪式,A附记,r对此文件进行 ead 操作。
然后您可以通过以下命令检索审计日志:
ausearch -f /etc/passwd
这些例子取自本文它提供了这些命令的更全面概述。审计包通常包含这些命令。
如果你只对监视文件上的操作感兴趣,而不是实际执行这些操作的人,则可以使用inotifywatch命令,而不是启用审计。这通常可以通过inotify 工具包。它使用 Linux 的通知界面。