क्या यह पता लगाने के लिए यूनिक्स में कोई तरीका है कि पिछले 1 सप्ताह में किसने कुछ फ़ाइल एक्सेस की है? यह उपयोगकर्ता या कुछ स्क्रिप्ट इसे किसी अन्य स्थान पर ftp हो सकता है। क्या मुझे ऐसे उपयोगकर्ता नाम की सूची मिल सकती है, जिन्होंने कुछ फ़ाइल एक्सेस की हैं? मैं कैसे पता लगा सकता हूं कि कौन विशेष फ़ाइल एक्सेस कर रहा है ??
जवाबों:
जब तक आपके पास बहुत ही असामान्य लॉगिंग नीतियां नहीं होती हैं, तो कौन सी फ़ाइल लॉग नहीं की जाती है (यह जानकारी का एक बड़ा हिस्सा होगा)। आप पता लगा सकते हैं कि सिस्टम लॉग में किस समय लॉग इन किया गया था; lastआदेश आप इस तरह के रूप में इतिहास, और अन्य लॉग के लिए लॉग इन देता है /var/log/auth.logजो आपको बताएगा कि उपयोगकर्ताओं को प्रमाणीकृत और जहां से वे में लॉग इन किया है (जो टर्मिनल, या जो मेजबान अगर दूर से)।
जिस तिथि में किसी फ़ाइल को अंतिम बार पढ़ा गया था उसे उसका एक्सेस टाइम या शॉर्ट के लिए atime कहा जाता है । सभी यूनिक्स फाइल सिस्टम इसे स्टोर कर सकते हैं, लेकिन कई सिस्टम इसे रिकॉर्ड नहीं करते हैं, क्योंकि इसमें एक (आमतौर पर छोटा) प्रदर्शन जुर्माना है। ls -ltu /path/to/fileया stat /path/to/fileफ़ाइल के एक्सेस समय को दिखाता है।
यदि कोई उपयोगकर्ता फ़ाइल को एक्सेस करता है और अपनी पटरियों को छिपाने की कोशिश नहीं कर रहा है, तो उसके शेल इतिहास (उदाहरण ~/.bash_history) में सुराग हो सकता है।
यह जानने के लिए कि अभी क्या या कौन सी फाइल खुली है, का उपयोग करें lsof /path/to/file।
भविष्य में किसी फ़ाइल का क्या होता है यह लॉग करने के लिए, कुछ तरीके हैं:
Inifyifywait का उपयोग करें । जब कोई पढ़ेगा तो inotifywait -e access /path/toएक लाइन प्रिंट करेगा । यह इंटरफ़ेस आपको नहीं बताएगा कि फ़ाइल किसने एक्सेस की है; जैसे ही यह रेखा दिखाई देती है, आप कॉल कर सकते हैं , लेकिन एक दौड़ की स्थिति है (एलएसओएफ के चलते समय समाप्त हो सकता है)।/path/to/ ACCESS filefilelsof /path/to/file
लॉगएफएस एक स्टैचेबल फाइल सिस्टम है जो एक फाइलसिस्टम ट्री का एक दृश्य प्रदान करता है, और इस दृश्य के माध्यम से सभी एक्सेस के कट्टर लॉगिंग कर सकता है। इसे कॉन्फ़िगर करने के लिए, LogFS कॉन्फ़िगरेशन फ़ाइल सिंटैक्स देखें ।
आप बड़ी संख्या में चीजों को लॉग करने के लिए लिनक्स के ऑडिट सबसिस्टम का उपयोग कर सकते हैं, जिसमें फाइल सिस्टम एक्सेस शामिल है। सुनिश्चित करें कि auditdडेमॉन शुरू हो गया है, फिर जो आप लॉग इन करना चाहते हैं उसे कॉन्फ़िगर करें auditctl। प्रत्येक लॉग ऑपरेशन को /var/log/audit/audit.log(विशिष्ट वितरण पर) दर्ज किया गया है । किसी विशेष फ़ाइल को देखना शुरू करने के लिए:
auditctl -w /path/to/file
यदि आप किसी निर्देशिका पर नजर रखते हैं, तो उसमें मौजूद फाइलें और उसके उपनिर्देशिका पुनरावर्ती रूप से भी देखे जाते हैं।
syslogd access log file /var/log/audit.log at 10:01\nsyslogd access log file /var/log/audit.log at 10:02\n...
Inotifywait के साथ उपरोक्त उदाहरण में से एक होना चाहिए (अधिक जानकारी के लिए मैन पेज देखें):
inotifywait /path/to/file
inotifywait -e open /pat/to/file
या निगरानी मोड और टाइमस्टैम्प के साथ:
inotifywait -m --format '%w:%e:%T' --timefmt '%F %T %Z %z'
पिछला जवाब वह करने के लिए सबसे अच्छा अभ्यास नहीं है जो आप पूछते हैं। लिनक्स में इसके लिए एक एपीआई है। inotifyएपीआई http://linux.die.net/man/7/inotify
inotifyसीधे एपीआई को कॉल करने के लिए एक सी प्रोग्राम लिख सकते हैंinotify inotifyलिनक्स विशिष्ट है) और आप जावा का उपयोग कर रहे हैं, तो JNotify प्लेटफ़ॉर्म (लिनक्स, मैक, विंडोज) पर काम करता है, जो मूल OS के अंतर्निहित API को अमूर्त करता है।auditd(हालांकि, इससे यह पता लगाने में भी मदद नहीं मिलती है कि पिछले सप्ताह फाइल को किसने एक्सेस किया था, जब तक कि आप auditdपिछले सप्ताह पहले से ही नहीं चल रहे थे)।