変更した日付、ファイルを変更した人(IPアドレスまたはユーザー名)、行を変更した人など、ファイルの履歴を取得する方法を探しています。
Linuxで変更されたファイルのIPアドレスまたはユーザー名を取得する方法はありますか?
答え1
1段階で完了する可能性は低いですが、誰がシステムにログインしたかを確認でき、w
statに表示されているファイルの変更時間をユーザーのログイン時間と一致させることができます。ファイルが777でない場合は、特定のユーザーの権限を考慮してファイルを編集できる人だけをフィルタリングできます。そうでない場合は、ファイルシステムイベントの監査を確認してください。
答え2
ユーザーのログイン履歴を監視しようとしますUtmpdump
。ログインしたユーザー、回数、IPアドレスを知らせます。
/var/run/utmp の内容を表示するには、次のコマンドを実行します。
utmpdump /var/run/utmp
/var/log/wtmpに対しても同じことを行います。
utmpdump /var/log/wtmp
そして/var/log/btmpを使用してください:
utmpdump /var/log/btmp
次のコマンドを使用して、特定のユーザーのすべてのログインイベントを一覧表示できます。ユーザー 12345) 出力を .csv ファイルに送信します。このファイルは、ポケットベルやLibreOfficeのCalcやMicrosoft Excelなどのワークブックアプリケーションを使用して表示できます。
PID、ユーザー名、IPアドレス、タイムスタンプを表示しましょう。
utmpdump /var/log/wtmp | grep -E "\[7].*USER12345" | awk -v OFS="," 'BEGIN {FS="] "}; {print $2,$4,$7,$8}' | sed -e 's/\[//g' -e 's/\]//g'
答え3
誰かが承認なしにリモートでファイルを変更した場合は、次のことができます。非常に深刻な安全問題。
コンピュータをインターネットから切断してバックアップする必要があります。ただ構成ファイルとデータファイルを再確認して、疑わしい部分がないことを確認し、最初から再インストールし、確かに脆弱なプログラム(特にユーザーが作成したプログラム!)を実行していません。みんなパスワードSSH接続の無効化など、セキュリティを確保するためのパスワードです。デプロイのセキュリティと詳細なログ記録の設定方法をお読みください。定期的にログを分析し、。
あなたの損失について申し訳ありません。