Ваше намерение мне неясно, но, возможно, вам нужна символическая ссылка в /etc. Если это так, обратитесь к man ln
.
У вас должна быть возможность использовать auditd
(хотя это зависит от того, доступен ли он в вашем дистрибутиве Linux).
Команда auditctl
используется для настройки аудита, а страница руководства должна описывать, как достичь того, что вам нужно.
Что-то вроде
auditctl -w / home / foo -p war -k foo-watch
Затем вы можете искать в журнале аудита позже, используя,
ausearch -k foo-watch
An пример того, как это сделать в SUSE, можно найти здесь .
Я не знаю, включен ли он в SuSE, но API fanotify наблюдает за всей файловой системой. Существует даже простая утилита fatrace, которая покажет вам каждый файл, который открывается, читается, записывается, закрывается. Пример
$ cd; sudo fatrace -f O -c
tail(1500): CO /home/meuh/dot/privoxy/logs/160426
ls(28599): O /home/meuh
bash(2075): O /home/meuh/dot/bashhistory.xt-right
-f O
предназначен только для трассировки открытий, а -c
для простой трассировки всей файловой системы, которая содержит текущий рабочий каталог. При желании вы также можете получить метку времени.
Я вижу несколько способов:
если ваша файловая система, содержащая / home / foo, смонтирована с atime (или эквивалентным для типа вашей файловой системы) , затем вы можете использовать find / home / foo -atime +10 -ls
, чтобы узнать, был ли доступ к каким-либо из его файлов менее чем за 11 дней
, или если вы предпочитаете «ткнуть» и посмотреть если прямо сейчас что-то доступно в этом каталоге: lsof | grep / home / foo
должен дать вам некоторую подсказку (для проверки: cd / home / foo; lsof | grep / home / foo
: должен по крайней мере выводить pid вашей оболочки, поскольку теперь он cwd (текущий рабочий каталог) по этому пути ...)
(примечание: я не могу сейчас протестировать оба, Linux под рукой нет ... но я думаю, что оба должны работать)