我想知道文件何时被谁读取。我使用ls -ul命令获取上次访问日期,但没有显示WHO访问了它。
你能帮忙吗?
克尔·马赫什
答案1
您需要在事实发生之前启用某种审核才能收集此类可靠信息。如果在访问时尚未准备好,那么您查找的信息可能已经丢失。
也就是说,您也许可以根据访问时登录系统的人员来推断谁访问了该文件。您通常可以通过 获取该信息last。您的推断的准确程度将取决于当时的用户数量。如果您可以访问他们的 shell 命令历史记录,您可能会在那里找到证据来支持您的观点。然而,这很容易被操纵和/或混淆,因此缺乏证据不应被视为无罪。
另一个探索的途径可能是,如果他们使用升级机制,例如sudo为了su查看文件,那么您可能会在相关日志记录位置找到证据。此日志记录是否存在以及在哪里可以找到它,将取决于您的发行版和系统设置。