Трассировка доступа к дереву каталогов

У вас должна быть возможность использовать auditd (хотя это зависит от того, доступен ли он в вашем дистрибутиве Linux).

Команда auditctl используется для настройки аудита, а страница руководства должна описывать, как достичь того, что вам нужно.

Что-то вроде

auditctl -w / home / foo -p war -k foo-watch

Затем вы можете искать в журнале аудита позже, используя,

ausearch -k foo-watch

An пример того, как это сделать в SUSE, можно найти здесь .

Я не знаю, включен ли он в SuSE, но API fanotify наблюдает за всей файловой системой. Существует даже простая утилита fatrace, которая покажет вам каждый файл, который открывается, читается, записывается, закрывается. Пример

$ cd; sudo fatrace -f O -c 
tail(1500): CO /home/meuh/dot/privoxy/logs/160426
ls(28599): O /home/meuh
bash(2075): O /home/meuh/dot/bashhistory.xt-right

-f O предназначен только для трассировки открытий, а -c для простой трассировки всей файловой системы, которая содержит текущий рабочий каталог. При желании вы также можете получить метку времени.

Я вижу несколько способов:

• если ваша файловая система, содержащая / home / foo, смонтирована с atime (или эквивалентным для типа вашей файловой системы) , затем вы можете использовать find / home / foo -atime +10 -ls , чтобы узнать, был ли доступ к каким-либо из его файлов менее чем за 11 дней

• , или если вы предпочитаете «ткнуть» и посмотреть если прямо сейчас что-то доступно в этом каталоге: lsof | grep / home / foo должен дать вам некоторую подсказку (для проверки: cd / home / foo; lsof | grep / home / foo : должен по крайней мере выводить pid вашей оболочки, поскольку теперь он cwd (текущий рабочий каталог) по этому пути ...)

(примечание: я не могу сейчас протестировать оба, Linux под рукой нет ... но я думаю, что оба должны работать)