これは私が現在経験している質問ではなく、家庭的な質問です。
現在どのプロセスがファイルを使用しているかを確認する方法または過去に?
どのプロセスがアクセス中であるか、またはfilenameタスクを実行するかを確認してください。しかし、どのプロセスにアクセスしたかを知りたい場合はどうすればよいですか?lsof filenamefuser filenamefilename 過去24時間?
人々はこの醜い(*)ハッキングを避けることができますか?
while true; do fuser filename; sleep 1; done
次の学期中に24時間実行してください。しかし、完全な監査フレームワークを構築せずに、実際にはより良いシステムがありますか?
fuser(*)1秒未満の場合、アクセスが検出されない可能性があることは言うまでもありません...
答え1
システムで監査が有効になっている場合は、このサブシステムを使用して特定のファイルへのアクセスを監査できます。
たとえば、ファイルを開いたり開いたりするファイルを監査するには、/etc/shadow次の規則を使用できます。
auditctl -a exit,always -S open -F path=/etc/shadow
後でこのコマンドを使用して、このファイルへのアクセスに対応する監査イベントを一覧表示できます。
ausearch -f /etc/shadow
監査システムを構成および照会するには、ルートである必要があります。
より監査制御(8)ルールの設定方法については、マニュアルページを参照してください。オーストラリア研究センター(8)監査ログを照会する方法の詳細については、マニュアルページを参照してください。
監査を有効にしていない場合は詳細が異なる可能性があるため、Linuxディストリビューションで監査を実行する方法についての情報を見つける必要があります。