いつ誰がファイルを読んだのか知りたいです。最後に訪問した日付を取得するコマンドを使用しましたが、ls -ul
表示されません。WHOそれを訪問した。
助けてもらえますか?
ケルマヘシュ
答え1
この種の信頼できる情報を収集するには、事実が発生する前にある種の監査を有効にする必要があります。アクセス時に準備ができていない場合は、探している情報が失われた可能性があります。
つまり、アクセス時にシステムにログインした人に基づいて、ファイルにアクセスした人を推測できます。一般的に、この情報はを通じて入手できますlast
。推論の精度は、当時のユーザー数によって異なります。そのシェルコマンド履歴にアクセスできたら、そこからあなたのコメントを裏付ける証拠を見つけることができます。ただし、これは簡単に操作または難読化される可能性があるため、証拠の欠如を言い訳の余地があると見なすべきではありません。
sudo
探索するもう1つの方法は、たとえば、ファイルを表示するためにエスカレーションメカニズムを使用した場合、su
関連するロギング場所で証拠を見つけることができることです。このロギングが存在するかどうか、およびそれが見つかる場所は、展開とシステム設定によって異なります。