„ls -al pokazuje tylko nazwę użytkownika, który utworzył ten katalog”. Nie. Pokazuje nazwę użytkownika, który „jest właścicielem” tego katalogu.
Roger Lipscombe,
1
@RogerLipscombe, który chyba, że ktoś (ograniczony roottylko w większości systemów) zrobił to chownw katalogu, będzie efektywnym identyfikatorem użytkownika procesu, który utworzył ten katalog.
Stéphane Chazelas,
6
Jasne, zwykle są takie same, ale nie muszą .
Roger Lipscombe,
Odpowiedzi:
30
To nie są informacje, które są normalnie rejestrowane, chyba że zastosujesz specjalne usposobienie w tym celu (jak za pośrednictwem jakiegoś systemu kontroli).
Usługa, za pomocą której użytkownik zmienił nazwę katalogu (np. Przez FTP, SFTP, WebDAV, samba ...), może zawierać dzienniki, które mogą pomóc. Można spróbować i sprawdzić te logi, tym last, lastcomm, audit, uwierzytelnianie rejestruje około godzinę folder została zmieniona.
Jeśli jesteś administratorem, możesz spojrzeć na plik historii powłok użytkowników, którzy mieli uprawnienia do zmiany nazwy (jeśli nazwa katalogu została zmieniona z /A/dirna /B/newdir, to ten, kto miał dostęp do zapisu do obu /Ai /B(zakładając, /Aże nie miał tnieco w swoich uprawnieniach i /A/diri /Bsą na tym samym systemie plików)).
Nie możesz Ponieważ zmiana nazwy katalogu (lub pliku) zmienia wpis w katalogu (nadrzędnym), musiał to być ktoś z uprawnieniami do zapisu w tym katalogu, ale nigdzie nie jest zarejestrowany, kto zmienia pliki / katalogi.
LoggedFS to oparty na bezpiecznikach system plików, który może rejestrować wszystkie operacje w nim występujące.
Jak to działa ?
Bezpiecznik robi prawie wszystko. LoggedFS wysyła komunikat do syslog tylko wtedy, gdy wywoływany jest przez bezpiecznik, a następnie pozwala prawdziwemu systemowi plików wykonać resztę zadania.
Jest dostępny jako deb w Ubuntu. Bardzo zabawna rzecz. Jednak gdy spróbujesz użyć go na zajętym serwerze, z łatwością zje ono całe miejsce na dysku.
root
tylko w większości systemów) zrobił tochown
w katalogu, będzie efektywnym identyfikatorem użytkownika procesu, który utworzył ten katalog.Odpowiedzi:
To nie są informacje, które są normalnie rejestrowane, chyba że zastosujesz specjalne usposobienie w tym celu (jak za pośrednictwem jakiegoś systemu kontroli).
Usługa, za pomocą której użytkownik zmienił nazwę katalogu (np. Przez FTP, SFTP, WebDAV, samba ...), może zawierać dzienniki, które mogą pomóc. Można spróbować i sprawdzić te logi, tym
last
,lastcomm
,audit
, uwierzytelnianie rejestruje około godzinę folder została zmieniona.Jeśli jesteś administratorem, możesz spojrzeć na plik historii powłok użytkowników, którzy mieli uprawnienia do zmiany nazwy (jeśli nazwa katalogu została zmieniona z
/A/dir
na/B/newdir
, to ten, kto miał dostęp do zapisu do obu/A
i/B
(zakładając,/A
że nie miałt
nieco w swoich uprawnieniach i/A/dir
i/B
są na tym samym systemie plików)).źródło
Nie możesz Ponieważ zmiana nazwy katalogu (lub pliku) zmienia wpis w katalogu (nadrzędnym), musiał to być ktoś z uprawnieniami do zapisu w tym katalogu, ale nigdzie nie jest zarejestrowany, kto zmienia pliki / katalogi.
źródło
Możesz użyć loggedfs .
Jest dostępny jako deb w Ubuntu. Bardzo zabawna rzecz. Jednak gdy spróbujesz użyć go na zajętym serwerze, z łatwością zje ono całe miejsce na dysku.
źródło