Trong tình huống nào đó, bạn cần biết ai là người cuối cùng tác động (truy cập, sửa, thay đổi permissions ...) đến một file.

Với cả 2 trường hợp:
+ Trước đó bạn chưa có "dự phòng" gì cả
+ Bạn đã monitoring rồi

Xin mời mọi người thảo luận để đưa ra những giải pháp. 

theo tui : mở đến file đó > view > choo detail... >đánh dấu chọn data accseed. 

quanta wrote:

Trong tình huống nào đó, bạn cần biết ai là người cuối cùng tác động (truy cập, sửa, thay đổi permissions ...) đến một file.

Với cả 2 trường hợp:
+ Trước đó bạn chưa có "dự phòng" gì cả
+ Bạn đã monitoring rồi

Xin mời mọi người thảo luận để đưa ra những giải pháp. 

Trong *nix có lệnh ls , trong đó ở cột thứ 6 hay thứ 7 gì đó có ghi rõ thời gian thay đổi cuối cùng .

Good luck 

Lưu ý:
+ thường chỉ nói tới các file cấu hình (Plain text)
+ bạn có quyền root

tranduyninh wrote:

theo tui : mở đến file đó > view > choo detail... >đánh dấu chọn data accseed. 

Chỗ nào vậy bạn? Cho cái screenshot.

tranhuuphuoc wrote:

quanta wrote:

Trong tình huống nào đó, bạn cần biết ai là người cuối cùng tác động (truy cập, sửa, thay đổi permissions ...) đến một file.

Với cả 2 trường hợp:
+ Trước đó bạn chưa có "dự phòng" gì cả
+ Bạn đã monitoring rồi

Xin mời mọi người thảo luận để đưa ra những giải pháp. 

Trong *nix có lệnh ls , trong đó ở cột thứ 6 hay thứ 7 gì đó có ghi rõ thời gian thay đổi cuối cùng .

Good luck 

Ai chứ không phải là thời điểm anh à. 

quanta wrote:

tranhuuphuoc wrote:

Trong *nix có lệnh ls , trong đó ở cột thứ 6 hay thứ 7 gì đó có ghi rõ thời gian thay đổi cuối cùng .

Good luck 

Ai chứ không phải là thời điểm anh à. 

chắc ý anh ý là từ thời gian rồi phán đoán ra người đó anh, em nghĩ nếu không dự phòng trước thì chỉ có thông tin này làm căn cứ. 

#!/bin/bash
if [ $# -eq 0 ]
then
        echo 1>&2 "Usage: $0 <file_name>"
        exit 127
else
        for USER in `ls /home`
        do
                if [ -f /home/$USER/.bash_history ]
                then
                        if [ `grep $1 /home/$USER/.bash_history | wc -l` != 0 ]
                        then
                                echo $USER:
                                grep $1 /home/$USER/.bash_history | sed -e "s/^/\t/"
                        fi
                fi
        done
fi

Modern Linux kernel (2.6.x) comes with auditd daemon 

auditctl -w /etc/passwd -p war

ausearch -f /etc/passwd -i | less

Em mới kiếm được 1 thằng http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html, đáp ứng khá ngon yêu cầu của anh quanta.

Trong bài giới thiệu http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html nó có ghi là:

Modern Linux kernel (2.6.x) comes with auditd daemon 

Mà sao Slackware chả thấy có sẵn, phải cài thêm .


Cài vô, cứ để con ma này chạy nền . Thích nó ám file nào, làm phát:
Code:

auditctl -w /etc/passwd -p war

Khi nào muốn nhòm ngó thì làm phát:
Code:

ausearch -f /etc/passwd -i | less

 

...
Ai giải thích hộ em cách dùng các option -k password-file và -k shadow-file này, set filter key để làm gì? Chỉ dùng để search ...cho nhanh thôi à . Và string này lấy đâu ra? hay chỉ cho đại một dòng gì đó vào, nhớ sau đó dùng string này để search log?
 

-k key: Set a filter key on an audit rule. The filter key is an arbitrary string of text that can be up to 31 bytes long. It can uniquely identify the audit records produced by a rule. Typical use is for when you have several rules that together satisfy a security requirement. The key value can be searched on with ausearch so that no matter which rule triggered the event, you can find its results. The key can also be used on delete all (-D) and list rules (-l) to select rules with a specific key. You may have more than one key on a rule if you want to be able to search logged events in multiple ways or if you have an audispd plugin that uses a key to aid its analysis.