监视我的计算机上的活动。

Question 1

您可以使用内核机制inotify来监视访问的文件。

首先你应该检查是否inotify在内核中打开：

pbm@tauri ~ $ zcat /proc/config.gz | grep CONFIG_INOTIFY
CONFIG_INOTIFY=y
CONFIG_INOTIFY_USER=y

接下来要做的就是安装inotify-tools。您可以在以下位置找到各种发行版的说明：项目页面- 它应该位于所有主要发行版的存储库中。

之后 inotify 就可以开始工作了：

inotifywait /dirs/to/watch -mrq

（m= 发生一个事件后不退出，r= 递归，q= 安静）

例如 - 之后输出ls /home/pbm

pbm@tauri ~ $ inotifywait /bin /home/pbm -mq 
/bin/ OPEN ls
/bin/ ACCESS ls
/bin/ ACCESS ls
/home/pbm/ OPEN,ISDIR 
/home/pbm/ CLOSE_NOWRITE,CLOSE,ISDIR 
/bin/ CLOSE_NOWRITE,CLOSE ls

重要的是正确设置监视目录：

不要/递归地观看 - 有很多读/写/dev和/proc
不要递归地查看您的主目录 - 当您使用应用程序时，会对应用程序配置目录和浏览器配置文件目录进行大量读/写操作

其中/proc/sys/fs/inotify/max_user_watches有一个配置选项，显示可以同时观看多少个文件。默认值（对于 Gentoo）大约不是那么高，所以如果你将 watcher 设置为/home/你可能会超出限制。您可以通过使用echo（需要 root 访问权限）来增加限制。

echo 524288 > /proc/sys/fs/inotify/max_user_watches

但在此之前你应该阅读该变化的后果。

您可能感兴趣的选项：

-d= 守护进程模式
-o file= 输出到文件
--format= 用户指定的格式，更多信息见man inotifywait
-e EVENT= 应监视什么事件（例如access、modify等，更多信息见man）

Answer

您可以使用内核机制inotify来监视访问的文件。

首先你应该检查是否inotify在内核中打开：

pbm@tauri ~ $ zcat /proc/config.gz | grep CONFIG_INOTIFY
CONFIG_INOTIFY=y
CONFIG_INOTIFY_USER=y

接下来要做的就是安装inotify-tools。您可以在以下位置找到各种发行版的说明：项目页面- 它应该位于所有主要发行版的存储库中。

之后 inotify 就可以开始工作了：

inotifywait /dirs/to/watch -mrq

（m= 发生一个事件后不退出，r= 递归，q= 安静）

例如 - 之后输出ls /home/pbm

pbm@tauri ~ $ inotifywait /bin /home/pbm -mq 
/bin/ OPEN ls
/bin/ ACCESS ls
/bin/ ACCESS ls
/home/pbm/ OPEN,ISDIR 
/home/pbm/ CLOSE_NOWRITE,CLOSE,ISDIR 
/bin/ CLOSE_NOWRITE,CLOSE ls

重要的是正确设置监视目录：

不要/递归地观看 - 有很多读/写/dev和/proc
不要递归地查看您的主目录 - 当您使用应用程序时，会对应用程序配置目录和浏览器配置文件目录进行大量读/写操作

其中/proc/sys/fs/inotify/max_user_watches有一个配置选项，显示可以同时观看多少个文件。默认值（对于 Gentoo）大约不是那么高，所以如果你将 watcher 设置为/home/你可能会超出限制。您可以通过使用echo（需要 root 访问权限）来增加限制。

echo 524288 > /proc/sys/fs/inotify/max_user_watches

但在此之前你应该阅读该变化的后果。

您可能感兴趣的选项：

-d= 守护进程模式
-o file= 输出到文件
--format= 用户指定的格式，更多信息见man inotifywait
-e EVENT= 应监视什么事件（例如access、modify等，更多信息见man）

Question 2

另一个人对你有兴趣吗？如果他有物理访问权限或 root 访问权限，他就可以删除所有痕迹，甚至植入一个 bug 来监视你。另一方面，有些痕迹抹去是很痛苦的，而且很难把一切都想起来。

系统日志中已经记录了各种内容，通常位于/var/log（某些系统使用不同的位置，例如/var/logs或/var/adm）。在正常配置下，所有登录和安装都会被记录。如果您担心日志被删除，您可以设置远程日志记录（如何执行此操作取决于系统日志实现，但通常只需在发送方和接收方的配置文件中更改一两行）。

如果您或您的发行版尚未禁用此功能，则每个文件都有一个存取时间(“atime”) 每当读取文件时都会更新。（如果使用noatime或选项挂载文件系统relatime，则 atime 不会更新。）可以使用伪造 atime touch -a，但这会更新 ctime，因此会留下痕迹。（即使是 root 也无法直接删除此痕迹，您需要绕过文件系统代码。）

各种程序都有一个会话历史记录。如果入侵者记得这样做，那么很容易删除或伪造。 Bash 保留~/.bash_history，浏览器倾向于在其配置文件目录中写入大量内容，等等。您还可能在~/.xsession-errors或/var/log/Xorg.0.log或其他与系统相关的位置发现明显的错误或警告。

许多大学都有一个流程会计¹ 功能。例如，参见GNU 会计实用程序手册, 中的条目FreeBSD手册或者Linux 指南或者Solaris 指南。一旦启用，它会记录用户何时启动什么进程（它记录execve调用），甚至可能更多。它没有记录很多有趣的信息，例如进程访问的文件。

如果你想监控对文件系统的所有访问，你可以通过记录文件系统。如果这个人想看的话，很容易被注意到。

有更全面的日志记录程序，但它们可能需要额外的内核支持。在 Solaris、FreeBSD、NetBSD 和 Mac OS X 上，有跟踪（有一个 Linux 移植正在进行中，但我不知道它是否已达到可用阶段）。您还可以通过系统调用接口跟踪特定进程ptrace，例如strace在 Linux 上；它可能会导致明显的减速。

¹_{维基百科中没有的内容？不，那是疯狂的言论。}

Answer