Linux 是否記錄最後更改文件的人(而不是創建文件)?如果是這樣,我該如何發現這一點?如果沒有,有什麼方法可以監控文件嗎?
查看誰對文件進行了更改
audit使用包管理器為您的發行版安裝包並啟動服務。
為您感興趣的文件設置監視,例如/etc/passwd
# auditctl -w /etc/passwd -p war -k password-file
查看該audit文件的記錄
# ausearch -f /etc/passwd | less
一般來說,沒有。我從未嘗試過,但如果您想跟踪訪問特定文件的使用者,您可以查看audit
引用自:https://serverfault.com/questions/43978