Tengo algunas preguntas sobre cómo ver quién accedió a un archivo.
Descubrí que hay formas de ver si se accedió a un archivo (no se modificó/cambió) a través del subsistema de auditoría e inotify.
Sin embargo, por lo que he leído en línea, según aquí: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
dice 'ver/monitorear' el archivo, tengo que configurar una vigilancia usando un comando como:
# auditctl -w /etc/passwd -p war -k password-file
Entonces, si creo un nuevo archivo o directorio, ¿tengo que usar el comando audit/inotify para "configurar" la vigilancia primero para "ver" quién accedió al nuevo archivo?
¿También hay alguna manera de saber si un directorio está siendo "vigilado" a través del subsistema de auditoría o inotify? ¿Cómo/dónde puedo consultar el registro de un archivo?
editar:
Buscando más en Google, encontré esta página que decía: http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html
La API de inotify no proporciona información sobre el usuario o proceso que desencadenó el evento de inotify.
Entonces, supongo que esto significa que no puedo determinar qué usuario accedió a un archivo. ¿Solo se puede utilizar el subsistema de auditoría para determinar quién accedió a un archivo?
Respuesta1
Los registros del subsistema de auditoría se basan en rutas. Puede poner vigilancia en un nombre de archivo incluso si ese archivo no existe. Obtendrá entradas de registro si se crea y se accede al archivo.
Todos los registros auditdse guardan en un archivo (generalmente /var/log/audit/auditd.log).
Puede enumerar las reglas de auditoría con auditctl -l.