수정한 날짜, 파일을 수정한 사람(IP 주소 또는 사용자 이름), 줄을 변경한 사람 등 파일 기록을 가져오는 방법을 찾고 있습니다.
Linux에서 수정된 파일의 IP 주소나 사용자 이름을 얻을 수 있는 방법이 있습니까?
답변1
한 단계로 완료될 가능성은 낮지만 누가 시스템에 로그인했는지 확인할 수 있고, wstat에 표시된 파일의 수정 시간을 사용자의 로그인 시간과 일치시킬 수 있습니다. 파일이 777이 아닌 경우 특정 사용자의 권한을 고려하여 파일을 편집할 수 있는 사람만 필터링할 수도 있습니다. 그렇지 않은 경우 파일 시스템 이벤트 감사를 검토하세요.
답변2
사용자 로그인 기록을 모니터링하려면 시도해 볼 수 있습니다 Utmpdump. 로그인한 사용자, 횟수, IP 주소를 알려줍니다.
/var/run/utmp의 내용을 표시하려면 다음 명령을 실행하십시오.
utmpdump /var/run/utmp
/var/log/wtmp에 대해서도 동일한 작업을 수행합니다.
utmpdump /var/log/wtmp
그리고 /var/log/btmp를 사용하세요:
utmpdump /var/log/btmp
다음 명령을 사용하여 특정 사용자에 대한 모든 로그인 이벤트를 나열할 수 있습니다(예:사용자 12345) 출력을 .csv 파일로 보냅니다. 이 파일은 호출기나 LibreOffice의 Calc 또는 Microsoft Excel과 같은 통합 문서 응용 프로그램을 사용하여 볼 수 있습니다.
PID, 사용자 이름, IP 주소 및 타임스탬프를 표시해 보겠습니다.
utmpdump /var/log/wtmp | grep -E "\[7].*USER12345" | awk -v OFS="," 'BEGIN {FS="] "}; {print $2,$4,$7,$8}' | sed -e 's/\[//g' -e 's/\]//g'
답변3
누군가 승인 없이 원격으로 파일을 변경하는 경우 다음을 수행할 수 있습니다.매우심각한 안전 문제.
컴퓨터를 인터넷에서 연결 해제하고 백업해야 합니다.오직구성 및 데이터 파일을 다시 확인하여 의심스러운 부분이 없는지 확인하고 처음부터 다시 설치하고틀림없이취약한 프로그램(특히 사용자가 작성한 프로그램!)을 실행하고 있지 않습니다.모두비밀번호 SSH 연결 비활성화 등 보안을 보장하기 위한 비밀번호입니다. 배포 보안 및 자세한 로깅 설정 방법에 대해 읽어보세요.정기적으로 로그를 분석하고.
당신의 손실에 대해 유감스럽게 생각합니다.