Я должен предоставить кому-то доступ к своему компьютеру, но я хочу знать впоследствии, к каким файлам он получил доступ... Я могу создать файл журнала для этого? Существует ли существующая программа для этого? Я знаю, как отследить процессы, но я просто хочу файлы, к которым получает доступ один пользователь.
iwatch
iwatch
o_O программа мониторинга файловой системы в реальном времени с помощью inotify и рабочего сервиса местной почты
Для лучшего мрака, необходимо изменить почтовый адрес и запустить deamon как корень или что-то еще, что †¦ :)
<час>sudo apt-get install iwatch
Создают конфигурационный файл с именем iwatch.xml
<?xml version="1.0" ?> <!DOCTYPE config SYSTEM "/etc/iwatch/iwatch.dtd" > <config> <guard email="username@localhost" name="iWatch"/> <watchlist> <title>a title</title> <contactpoint email="username@localhost" name="foo bar"/> <path type="recursive" events="default">/home/username</path> </watchlist> </config>
, Запускаются, deamon
iwatch -d -f iwatch.xml -p ~/iwatch.pid
-d
Выполняют приложение как демона. iWatch будет работать в foregroud без этой опции.
-f
Указывают альтернативный конфигурационный файл. Значение по умолчанию /etc/iwatch/iwatch.xml
-p
, Указывают альтернативный изодромный с предварением файл. Значение по умолчанию: /var/run/iwatch.pid
Проверка Ваши местные почты ;)
Some interesting events
-e event [,event[,..]]
Specify a list of events you want to watch. Following are the possible events you
can use:
access : file was modified
modify : file was modified
attrib : file attributes changed
close_write : file closed, after being opened in writeable mode
close_nowrite : file closed, after being opened in read-only mode
close : file closed, regardless of read/write mode
open : file was opened
moved_from : File was moved away from.
moved_to : File was moved to.
move : a file/dir within watched directory was moved
create : a file was created within watched director
delete : a file was deleted within watched directory
delete_self : the watched file was deleted
unmount : file system on which watched file exists was unmounted
q_overflow : Event queued overflowed
ignored : File was ignored
isdir : event occurred against dir
oneshot : only send event once
all_events : All events
default : close_write, create, delete, move, delete_self and move_self.
<час> [еще 1127] информация здесь
Не изобретайте велосипед - плохо.
аудит Использования. Отслеживание, кто получает доступ к тому, какие файлы точно , для чего аудит.
А хорошая ссылка для начала работы здесь .
цели Аудита
При помощи мощной контрольной платформы, система может отследить много типов событий, чтобы контролировать и контролировать систему. В качестве примера можно привести:
- доступ Файла аудита и модификация
- Видят, кто изменился, конкретный файл
- Обнаруживают несанкционированные изменения
- , Контроль системных вызовов и функций
- Обнаруживает аномалии как катастрофический отказ процессов
- растяжки Набора в целях обнаружения проникновения
- Рекордные команды, используемые отдельными пользователями
find
следующие работы решения не с удаленными файлами и, если Вы имеете не , устанавливают noatime
в Вашем fstab, например:
defaults,noatime
<час> Используя find
после того, как у Вас есть своя учетная запись назад.
find ~ -atime -1
средства, к которым получают доступ меньше чем 1 день.
Или комбинация:
find ~ -atime 1 -atime -2
средства 1-2 дня назад
<час> от man find
-atime n
File was last accessed n*24 hours ago. When find figures
out how many 24-hour periods ago the file was last accessed,
any fractional part is ignored, so to match -atime +1, a file
has to have been accessed at least two days ago.
-amin n
File was last accessed n minutes ago.