如何找到我用“gedit”编辑过的所有系统文件？

Question 1

我刚刚使用此命令编辑了一个“系统”文件来打开该文件：

sudo -H gedit /etc/gtk-3.0/settings.ini

然后我立即查看了最后一条记录~/.local/share/recently-used.xbel，看到了以下内容：

  <bookmark href="file:///etc/gtk-3.0/settings.ini" added="2016-11-14T02:04:05Z" modified="2016-11-14T02:04:05Z" visited="2016-11-14T02:04:05Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="text/plain"/>
        <bookmark:groups>
          <bookmark:group>gedit</bookmark:group>
        </bookmark:groups>
        <bookmark:applications>
          <bookmark:application name="gedit" exec="&apos;gedit %u&apos;" modified="2016-11-14T02:04:05Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>

限制：

内容recently-used.xbel没有透露你如何调用gedit。
文件不一定需要用来编辑或创建gedit；只需用查看文件gedit即可列出该文件。

目视检查文件似乎比使用代码提取所需信息更安全。类似的东西grep -B5 '<bookmark:group>gedit</bookmark:group>' recently-used.xbel | grep 'bookmark href=' | grep -v '///home/'可能有助于隔离由编辑的系统文件。但这仅在是该特定文件在中列出的第一个应用程序gedit时才有效。如果您之前使用其他写入的应用程序编辑过该文件，则可能无法捕获该文件。geditbookmark:grouprecently-used.xbel

    <bookmark:groups>
      <bookmark:group>geany</bookmark:group>
      <bookmark:group>gedit</bookmark:group>
    </bookmark:groups>

无论如何，这是该命令的输出grep：

~/.local/share $ grep -B5 '<bookmark:group>gedit</bookmark:group>' recently-used.xbel | grep 'bookmark href=' | grep -v '///home/'
  <bookmark href="file:///usr/share/themes/Adwaita/gtk-2.0/gtkrc" added="2016-10-15T09:38:31Z" modified="2016-10-15T09:38:31Z" visited="2016-10-15T09:38:31Z">
  <bookmark href="file:///usr/share/themes/Numix/gtk-2.0/gtkrc" added="2016-10-15T09:40:25Z" modified="2016-10-15T09:40:25Z" visited="2016-10-15T09:40:25Z">
  <bookmark href="file:///usr/share/themes/Lubuntu-default/gtk-3.0/gtk-lubuntu.css" added="2016-10-27T03:26:38Z" modified="2016-10-27T03:26:38Z" visited="2016-10-27T03:26:38Z">
  <bookmark href="file:///etc/gtk-3.0/settings.ini.dpkg-old" added="2016-11-14T02:03:44Z" modified="2016-11-14T02:03:44Z" visited="2016-11-14T02:03:44Z">
  <bookmark href="file:///etc/gtk-3.0/settings.ini" added="2016-11-14T02:04:05Z" modified="2016-11-14T02:04:05Z" visited="2016-11-14T02:04:05Z">
~/.local/share $

Answer

我刚刚使用此命令编辑了一个“系统”文件来打开该文件：

sudo -H gedit /etc/gtk-3.0/settings.ini

然后我立即查看了最后一条记录~/.local/share/recently-used.xbel，看到了以下内容：

  <bookmark href="file:///etc/gtk-3.0/settings.ini" added="2016-11-14T02:04:05Z" modified="2016-11-14T02:04:05Z" visited="2016-11-14T02:04:05Z">
    <info>
      <metadata owner="http://freedesktop.org">
        <mime:mime-type type="text/plain"/>
        <bookmark:groups>
          <bookmark:group>gedit</bookmark:group>
        </bookmark:groups>
        <bookmark:applications>
          <bookmark:application name="gedit" exec="&apos;gedit %u&apos;" modified="2016-11-14T02:04:05Z" count="1"/>
        </bookmark:applications>
      </metadata>
    </info>
  </bookmark>

限制：

内容recently-used.xbel没有透露你如何调用gedit。
文件不一定需要用来编辑或创建gedit；只需用查看文件gedit即可列出该文件。

目视检查文件似乎比使用代码提取所需信息更安全。类似的东西grep -B5 '<bookmark:group>gedit</bookmark:group>' recently-used.xbel | grep 'bookmark href=' | grep -v '///home/'可能有助于隔离由编辑的系统文件。但这仅在是该特定文件在中列出的第一个应用程序gedit时才有效。如果您之前使用其他写入的应用程序编辑过该文件，则可能无法捕获该文件。geditbookmark:grouprecently-used.xbel

    <bookmark:groups>
      <bookmark:group>geany</bookmark:group>
      <bookmark:group>gedit</bookmark:group>
    </bookmark:groups>

无论如何，这是该命令的输出grep：

~/.local/share $ grep -B5 '<bookmark:group>gedit</bookmark:group>' recently-used.xbel | grep 'bookmark href=' | grep -v '///home/'
  <bookmark href="file:///usr/share/themes/Adwaita/gtk-2.0/gtkrc" added="2016-10-15T09:38:31Z" modified="2016-10-15T09:38:31Z" visited="2016-10-15T09:38:31Z">
  <bookmark href="file:///usr/share/themes/Numix/gtk-2.0/gtkrc" added="2016-10-15T09:40:25Z" modified="2016-10-15T09:40:25Z" visited="2016-10-15T09:40:25Z">
  <bookmark href="file:///usr/share/themes/Lubuntu-default/gtk-3.0/gtk-lubuntu.css" added="2016-10-27T03:26:38Z" modified="2016-10-27T03:26:38Z" visited="2016-10-27T03:26:38Z">
  <bookmark href="file:///etc/gtk-3.0/settings.ini.dpkg-old" added="2016-11-14T02:03:44Z" modified="2016-11-14T02:03:44Z" visited="2016-11-14T02:03:44Z">
  <bookmark href="file:///etc/gtk-3.0/settings.ini" added="2016-11-14T02:04:05Z" modified="2016-11-14T02:04:05Z" visited="2016-11-14T02:04:05Z">
~/.local/share $

Question 2

默认情况下，所有sudo调用都会被记录，而不仅仅是sudo gedit。请参阅/var/log/auth.log，或在现代系统中journalctl $(which sudo)。同样，对于pkexec：journalctl $(which pkexec)。

这个问题sudo有出现在的示例/var/log/auth.log：

Jul 16 11:50:56 laptop sudo: mv : 3 incorrect password attempts ; TTY=unknown ; PWD=/home/mv ; USER=root ; COMMAND=/usr/bin/env -u LANGUAGE LC_MESSAGES=C /bin/sh /tmp/tmpBHXhYV/:script:

您需要的是COMMAND=...部分。

Answer

默认情况下，所有sudo调用都会被记录，而不仅仅是sudo gedit。请参阅/var/log/auth.log，或在现代系统中journalctl $(which sudo)。同样，对于pkexec：journalctl $(which pkexec)。

这个问题sudo有出现在的示例/var/log/auth.log：

Jul 16 11:50:56 laptop sudo: mv : 3 incorrect password attempts ; TTY=unknown ; PWD=/home/mv ; USER=root ; COMMAND=/usr/bin/env -u LANGUAGE LC_MESSAGES=C /bin/sh /tmp/tmpBHXhYV/:script:

您需要的是COMMAND=...部分。

如何找到我用“gedit”编辑过的所有系统文件？

答案1

答案2

相关内容