¿Linux registra quién cambió por última vez un archivo (en lugar de crearlo)? Si es así, ¿cómo puedo averiguarlo? Si no, ¿hay alguna forma de monitorear los archivos?
¿Linux registra quién cambió por última vez un archivo (en lugar de crearlo)? Si es así, ¿cómo puedo averiguarlo? Si no, ¿hay alguna forma de monitorear los archivos?
Respuestas:
Ver quién realizó cambios en un archivo
Instale el auditpaquete usando el administrador de paquetes para su distribución e inicie el servicio.
Configure un reloj para un archivo que le interese, como /etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
Ver los auditregistros de ese archivo
# ausearch -f /etc/passwd | less
No, no hay registro de quién modificó qué archivo.
Para darle una idea, puede consultar los registros para ver quién inició sesión en ese momento y, en circunstancias ideales, se pueden examinar los archivos de historial.