누가 파일에 액세스했는지 확인하는 방법에 대해 몇 가지 질문이 있습니다.
감사 하위 시스템 및 inotify를 통해 파일이 액세스되는지(수정/변경되지 않음) 확인하는 몇 가지 방법이 있다는 것을 발견했습니다.
그러나 내가 온라인에서 읽은 내용에 따르면 다음과 같습니다. http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
"watch/monitor" 파일이 있는데 다음과 같은 명령을 사용하여 시계를 설정해야 합니다.
# auditctl -w /etc/passwd -p war -k password-file
그렇다면 새 파일이나 디렉터리를 생성하는 경우 새 파일에 액세스하는 사람을 "모니터링"하려면 먼저 audit/inotify 명령을 사용하여 모니터링을 "설정"해야 합니까?
감사 하위 시스템이나 inotify를 통해 디렉토리가 "모니터링"되고 있는지 알 수 있는 방법이 있습니까? 파일 로그는 어떻게/어디서 확인할 수 있나요?
편집하다:
추가 인터넷 검색을 통해 다음과 같은 페이지를 찾았습니다. http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html
inotify API는 inotify 이벤트를 트리거한 사용자 또는 프로세스에 대한 정보를 제공하지 않습니다.
그렇다면 이것은 어떤 사용자가 파일에 액세스했는지 알 수 없다는 뜻인가요? 감사 하위 시스템만이 파일에 액세스한 사람을 알아낼 수 있습니까?
답변1
감사 하위 시스템의 로그는 경로 기반입니다. 파일이 존재하지 않더라도 파일 이름을 모니터링할 수 있습니다. 파일이 생성되고 액세스되면 로그 항목이 표시됩니다.
모든 로그는 auditd파일(보통 /var/log/audit/auditd.log)에 저장됩니다.
목록 감사 규칙을 사용할 수 있습니다 auditctl -l.