在 Linux 中,有没有办法查看哪个用户更新了文件?

在 Linux 中,有没有办法查看哪个用户更新了文件?

Linux 会记录谁最后修改了文件(而不是创建了文件)吗?如果会,我该如何找到它?如果没有,有什么方法可以监控文件吗?

答案1

查看谁对文件进行了更改

安装audit使用适合您的发行版的包管理器打包并启动服务。

为你感兴趣的文件设置监视,例如/etc/passwd

# auditctl -w /etc/passwd -p war -k password-file

查看audit该文件的记录

# ausearch -f /etc/passwd | less

答案2

一般来说,不会。我从未尝试过,但如果你想跟踪访问特定文件的用户,你可以看看审计

答案3

不,没有记录谁修改了哪个文件。

为了让您有一个了解,您可以检查日志以查看当时谁登录,并且在理想情况下,可以检查历史文件。

相关内容