Как может я доступ файла журнала от пользователей?

Используя iwatch

iwatch o_O программа мониторинга файловой системы в реальном времени с помощью inotify и рабочего сервиса местной почты

Для лучшего мрака, необходимо изменить почтовый адрес и запустить deamon как корень или что-то еще, что †¦ :)

sudo apt-get install iwatch

1. Создают конфигурационный файл с именем iwatch.xml

   <?xml version="1.0" ?>
   <!DOCTYPE config SYSTEM "/etc/iwatch/iwatch.dtd" >
   <config>
           <guard email="username@localhost" name="iWatch"/>
           <watchlist>
                   <title>a title</title>
                   <contactpoint email="username@localhost" name="foo bar"/>
                   <path type="recursive" events="default">/home/username</path>
           </watchlist>
   </config>

2. , Запускаются, deamon

   iwatch -d -f iwatch.xml -p ~/iwatch.pid
   

   -d Выполняют приложение как демона. iWatch будет работать в foregroud без этой опции.

   -f Указывают альтернативный конфигурационный файл. Значение по умолчанию /etc/iwatch/iwatch.xml

   -p, Указывают альтернативный изодромный с предварением файл. Значение по умолчанию: /var/run/iwatch.pid

3. Проверка Ваши местные почты ;)

Some interesting events

-e event [,event[,..]]
   Specify a list of events you want to watch. Following are the possible events you
   can use:
access          : file was modified
modify          : file was modified
attrib          : file attributes changed
close_write     : file closed, after being opened in writeable mode
close_nowrite   : file closed, after being opened in read-only mode
close           : file closed, regardless of read/write mode
open            : file was opened
moved_from      : File was moved away from.
moved_to        : File was moved to.
move            : a file/dir within watched directory was moved
create          : a file was created within watched director
delete          : a file was deleted within watched directory
delete_self     : the watched file was deleted
unmount         : file system on which watched file exists was unmounted
q_overflow      : Event queued overflowed
ignored         : File was ignored
isdir           : event occurred against dir
oneshot         : only send event once
all_events      : All events
default         : close_write, create, delete, move, delete_self and move_self.

Не изобретайте велосипед - плохо.

аудит Использования. Отслеживание, кто получает доступ к тому, какие файлы точно , для чего аудит.

А хорошая ссылка для начала работы здесь .

цели Аудита

При помощи мощной контрольной платформы, система может отследить много типов событий, чтобы контролировать и контролировать систему. В качестве примера можно привести:

• доступ Файла аудита и модификация
  • Видят, кто изменился, конкретный файл
  • Обнаруживают несанкционированные изменения
• , Контроль системных вызовов и функций
• Обнаруживает аномалии как катастрофический отказ процессов
• растяжки Набора в целях обнаружения проникновения
• Рекордные команды, используемые отдельными пользователями

Используя find

следующие работы решения не с удаленными файлами и, если Вы имеете не , устанавливают noatime в Вашем fstab, например:

defaults,noatime

Используя find после того, как у Вас есть своя учетная запись назад.

find ~ -atime -1

средства, к которым получают доступ меньше чем 1 день.

Или комбинация:

find ~ -atime 1 -atime -2

средства 1-2 дня назад

от man find

-atime n
      File  was  last  accessed n*24 hours ago.  When find figures
      out how many 24-hour periods ago the file was last accessed,
      any fractional part is ignored, so to match -atime +1, a file
      has to have been accessed at least two days ago.

-amin n
      File was last accessed n minutes ago.