Мне нужно проверить список файлов, к которым обращались на моем компьютере (например, вчера в определенное время). Является ли это возможным?
Или
Мне нужно проверить, обращался ли кто-нибудь к моему компьютеру (когда я оставил его разблокированным) или нет в течение определенного времени.
Я предполагаю, что вы не думаете, что ваш компьютер был полностью скомпрометирован (чтобы проверить, кто выполнял команды sudo, смотрите /var/log/auth.log
).
Можно быстро найти файлы, не принадлежащие вашему пользователю, в вашей домашней папке, а также в то время, когда к любым файлам был получен доступ с помощью команды find
(используйте -тип f
для файлов и -тип d
для каталогов). Для следующих примеров я предполагаю, что вы запускаетесь с верхнего уровня вашей домашней папки (просто введите cd
, чтобы добраться до нее), и что вы не хотите искать файлы в корневой директории.
1) Чтобы найти в вашей домашней папке все файлы, которые НЕ принадлежат зарегистрированному пользователю, введите:
find ~ -type f ! -user $USER
1.1) Чтобы найти все файлы, которые не принадлежат ни одному из зарегистрированных пользователей (их не должно быть), введите:
find ~ -type f -nouser
2). Так как файлы в системе имеют три временные метки mtime
(время модификации файла), ctime
(время изменения кода и разрешения) и atime
(время доступа к файлу), их можно запросить, чтобы узнать, как файлы были модифицированы. Часто обсуждается, какой из них лучше всего использовать, но, возможно, лучший способ узнать, когда файлы были доступны или изменены - это использовать команду find
для поиска atime
и mtime
, с которым вы указали несколько дней назад, и дополнительные найдите
опции amin
и mmin
, с которыми вы указали несколько минут назад. Для каждой из этих команд используются одни и те же переключатели команд: например, -atime 1
будет соответствовать тем файлам, к которым вы обращались 1 день назад точно ; чтобы указать больше или меньше, чем , добавьте +
или -
, соответственно. Примеры ниже могут прояснить все это (укажите -тип d
для каталогов):
find ~ -type f -atime 1
find ~ -type f -amin -23
find ~ -type f -mtime 2
find ~ -type f -mmin -45
3) Чтобы объединить мои подходы до сих пор, вы можете ввести следующие команды из вашей домашней папки:
найти ~ -тип f -atime -2 ! -user $USER
найдите ~ -type f -mtime -2 ! -user $USER
Если ваш компьютер должен был быть заблокирован, то вы можете проверить автожурнал, который записывает каждое событие входа и разблокировки с датой и временем.
Нет прямого способа узнать, имел ли кто-то доступ к разблокированному компьютеру, без установки специальной программы для отслеживания активности. Но косвенная информация может быть использована для того, чтобы сделать вывод о доступе.
История браузера, например, часто сообщает, в какое время был осуществлен доступ к веб-сайтам. Также недавно открытые файлы gnome будут показывать открытые файлы. Вы можете добраться до этого, зайдя в Dash Menu Unity и щелкнув мышью на разделе недавно использованных файлов:
Если вам нужен более полный список (включающий файлы, к которым обращаются программы, не являющиеся gnome), то нам понадобится написать короткий скрипт, чтобы обнаружить все файлы с доступом или временем записи между подозреваемыми диапазонами. Возможно, кто-то уже написал это, но я никогда не слышал об этом.