Linux 会记录谁最后修改了文件(而不是创建了文件)吗?如果会,我该如何找到它?如果没有,有什么方法可以监控文件吗?
答案1
安装audit
使用适合您的发行版的包管理器打包并启动服务。
为你感兴趣的文件设置监视,例如/etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
查看audit
该文件的记录
# ausearch -f /etc/passwd | less
答案2
一般来说,不会。我从未尝试过,但如果你想跟踪访问特定文件的用户,你可以看看审计
答案3
不,没有记录谁修改了哪个文件。
为了让您有一个了解,您可以检查日志以查看当时谁登录,并且在理想情况下,可以检查历史文件。