언제 누가 파일을 읽었는지 알고 싶습니다. 마지막으로 방문한 날짜를 가져오는 명령을 사용했지만 ls -ul
표시되지 않습니다.WHO그것을 방문했다.
도울 수 있니?
케르 마헤쉬
답변1
이런 종류의 신뢰할 수 있는 정보를 수집하려면 사실이 발생하기 전에 일종의 감사를 활성화해야 합니다. 액세스할 때 준비가 되어 있지 않으면 찾고 있는 정보가 손실되었을 수 있습니다.
즉, 액세스 당시 시스템에 로그인한 사람을 기반으로 파일에 액세스한 사람을 유추할 수 있습니다. 일반적으로 이 정보는 를 통해 얻을 수 있습니다 last
. 추론의 정확성은 당시 사용자 수에 따라 달라집니다. 해당 쉘 명령 기록에 액세스할 수 있었다면 거기에서 귀하의 의견을 뒷받침하는 증거를 찾을 수 있습니다. 그러나 이는 쉽게 조작되거나 난독화될 수 있으므로 증거 부족을 변명의 여지가 있는 것으로 간주해서는 안 됩니다.
sudo
탐색할 또 다른 방법은 예를 들어 파일을 보기 위해 에스컬레이션 메커니즘을 사용한 경우 su
관련 로깅 위치에서 증거를 찾을 수 있다는 것입니다. 이 로깅이 존재하는지 여부와 이를 찾을 수 있는 위치는 배포 및 시스템 설정에 따라 다릅니다.