Как знать, кто получил доступ к файлу или если файл имеет монитор 'доступа' в Linux
Я рекомендовал бы или VirtualBox или если у Вас есть достаточно недавнее ядро + процессор, попробуйте Qemu-KVM.
Я имею, лично запустил несколько Linux на Qemu одновременно, и он работает просто великолепно.
1
Rui F Ribeiro
08.12.2018, 01:40
Ссылка
1 ответ
Журналы от контрольной подсистемы основаны на путях. Можно поместить часы на имя файла, даже если тот файл не существует. Вы получите записи в журнале, если файл будет создан и получен доступ.
Все журналы от auditd сохраняются в одном файле (обычно /var/log/audit/auditd.log).
Можно перечислить контрольные правила с auditctl -l.
0
Gilles 'SO- stop being evil'
28.01.2020, 02:10
Ссылка
-
1Когда Вы говорите, что за файлом, который даже не существует, можно наблюдать, я предполагаю, что Вы имеете в виду, создается ли файл или каталог в каталоге, за которым наблюдают, за новыми файлами и каталогами автоматически наблюдают также? – J L 04.04.2012, 05:01
-
2@JL Да, дело в том, что часы связаны с путем (или фрагмент пути, если тот путь или становится каталогом), а не к, скажем, inode. – Gilles 'SO- stop being evil' 04.04.2012, 10:07