跟踪 Linux 上的文件系统变化

大多数包管理器都会准确地告诉您它们安装了哪些文件：

dpkg -L <pkgname>
rpm -ql <pkgname>

但是，这不会告诉您有关其安装后脚本可能进行的修改的任何信息。我​​认为，在安装后尝试对文件系统快照进行差异分析是过度的。有许多用于跟踪文件访问的工具可能会有所帮助。

• 安装监视将在安装过程中跟踪文件系统的变化。
• 任何基于主机的入侵检测系统在安装软件包后都会发出很大的抱怨。我使用萨温节。
• 内核的审计接口可以设置为为您跟踪这些内容。

如何设置和使用 Tripwire。
绊线使用关键文件的校验和列表来检测入侵。

您可以使用类似的东西（Tripwire 本身或 在更改活动之前和之后
生成文件校验和的脚本）

MD5 校验速度非常快，并且已经可用md5sum。

查找已修改的内容：
除了 Instyle 所说的内容之外，您还可以使用 find 来查找过去 10 分钟内修改过的文件：

查找/-mmin -10

版本控制：
您还可以使用 subversion 对 /etc 进行版本控制。 这是一篇博客文章关于那个。

快照：
您还可以使用lvm 快照但是，这可能有点过度了。

有很多这样的实用程序。我用的是阿菲克。