如何监视文件的更改

如何监视文件的更改

Debian 9服务器上的一些文件在我修改后会定期覆盖到原始状态。我找不到哪个进程/程序正在执行这项工作。 crontab 上没有定义任何内容。可能来自远程服务器(即 Ansible/Puppet),但我找不到证据。

我尝试使用lsoffuser但没有进程正在使用这些文件。

我的问题是如何设置监视器来监视这些文件并找出哪些进程更改了其内容。

答案1

好问题!入侵检测系统用于类似这样的事情,或者至少可以这样,所以也许其中之一(助手、绊线……)已经具有这种功能,或者可以在那里询问。

如果您知道正在修改的文件预先(或者保持不被修改的重要文件列表以及显示您自己修改它们的时间和用户名)您可以使用建议的内容这里

如果您想使用auditd 这里您可以找到这样做的指南。

相关内容