파일에 액세스한 사람을 보는 것과 관련하여 몇 가지 질문이 있습니다.
감사 하위 시스템 및 inotify를 통해 파일에 액세스했는지(수정/변경되지 않음) 확인하는 방법이 있다는 것을 알았습니다.
그러나 내가 온라인에서 읽은 내용에 따르면 다음과 같습니다. http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
'watch/monitor' 파일에 다음과 같은 명령을 사용하여 시계를 설정해야 한다고 나와 있습니다.
# auditctl -w /etc/passwd -p war -k password-file
그렇다면 새 파일이나 디렉터리를 생성하는 경우 audit/inotify 명령을 사용하여 watch를 먼저 'watch'로 '설정'하고 새 파일에 액세스한 사람을 'watch'해야 합니까?
또한 감사 하위 시스템이나 inotify를 통해 디렉토리가 '감시'되고 있는지 알 수 있는 방법이 있습니까? 파일 로그는 어떻게/어디서 확인할 수 있나요?
편집하다:
추가 인터넷 검색을 통해 이 페이지에서 다음과 같은 내용을 발견했습니다. http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html
inotify API는 inotify 이벤트를 트리거한 사용자 또는 프로세스에 대한 정보를 제공하지 않습니다.
그렇다면 이것은 어떤 사용자가 파일에 액세스했는지 알 수 없다는 뜻인가요? 파일에 액세스한 사람을 파악하는 데 감사 하위 시스템만 사용할 수 있습니까?
답변1
감사 하위 시스템의 로그는 경로를 기반으로 합니다. 해당 파일이 존재하지 않더라도 파일 이름에 조사식을 넣을 수 있습니다. 파일이 생성되고 액세스되면 로그 항목이 표시됩니다.
의 모든 로그는 auditd
하나의 파일(일반적으로 )에 저장됩니다 /var/log/audit/auditd.log
.
를 사용하여 감사 규칙을 나열할 수 있습니다 auditctl -l
.