Como saber quem acessou um arquivo ou se um arquivo possui monitor de ‘acesso’ no linux

Como saber quem acessou um arquivo ou se um arquivo possui monitor de ‘acesso’ no linux

Tenho algumas dúvidas sobre como visualizar quem acessou um arquivo.

Descobri que existem maneiras de ver se um arquivo foi acessado (não modificado/alterado) por meio do subsistema de auditoria e do inotify.

No entanto, pelo que li online, de acordo com aqui: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

diz para 'assistir/monitorar' o arquivo, tenho que definir uma observação usando um comando como:

# auditctl -w /etc/passwd -p war -k password-file

Então, se eu criar um novo arquivo ou diretório, preciso usar o comando audit/inotify para 'definir' assistir primeiro para 'observar' quem acessou o novo arquivo?

Também existe uma maneira de saber se um diretório está sendo 'vigiado' através do subsistema de auditoria ou inotify? Como/onde posso verificar o log de um arquivo?

editar:

pesquisando mais no Google, encontrei esta página dizendo: http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html

A API inotify não fornece informações sobre o usuário ou processo que acionou o evento inotify.

Então, acho que isso significa que não consigo descobrir qual usuário acessou um arquivo. Somente o subsistema de auditoria pode ser usado para descobrir quem acessou um arquivo?

Responder1

Os logs do subsistema de auditoria são baseados em caminhos. Você pode vigiar um nome de arquivo mesmo que esse arquivo não exista. Você receberá entradas de log se o arquivo for criado e acessado.

Todos os logs auditdsão salvos em um arquivo (geralmente /var/log/audit/auditd.log).

Você pode listar as regras de auditoria com auditctl -l.

informação relacionada