Есть ли способ узнать, какие файлы пользователь удаляет во время своей повседневной работы. Я знаю о bash_history, но мне интересно, есть ли что-то большее, чем это. Речь идет о простой установке сервера Ubuntu (предположительно любого Linux).
Если user бежит rm -fr dir1 в домашнем каталоге, будет ли журнал события? Есть ли у меня способ легко включить такую функцию?
Изменить: Могу ли я узнать что-нибудь перед установкой? Оба ответа отличные!
Спасибо
Чтобы отслеживать манипуляции с файловой системой, вам необходимо использовать inotify или встроенную систему аудита с ядром. Взгляни на эта страница для краткого обзора ваших возможностей. Страницы руководства по inotify и auditctl также очень полезны.
Эти процессы сообщают вам, когда какой-либо файл был изменен, независимо от того, выполняется ли это как команда в истории пользователя (например, через файловый менеджер графического интерфейса и т. Д.).
Для этого вы можете включить учет процессов.
apt-get install acct
После его установки вы сможете увидеть все команды, выполняемые пользователем с помощью lastcomm username. man lastcomm для дополнительных опций.