不,您需要为此软件(当然,在此之前它不会对文件更改起作用)。Linux 审计框架就是值得使用的一个。
Linux Audit Framework,也称为auditd,就是为了解决上述问题而创建的。Linux 审计框架允许系统管理员记录不同的系统事件并将其用于事后分析。您可以将其想象为飞机上的“黑匣子”。事件日志通常包含有用的信息,例如执行的命令、系统调用、文件访问信息和网络统计信息。
审计:
auditd是 Linux 审计系统的用户空间组件。它负责将审计记录写入磁盘。查看日志是使用ausearch或aureport实用程序完成的。配置审核系统或加载规则是使用该auditctl实用程序完成的。在启动期间,中的规则/etc/audit/audit.rules被读取auditctl并加载到内核中。或者,还有一个 augenrules 程序,它读取位于audit.rules 文件中的规则/etc/audit/rules.d/并将它们编译到audit.rules 文件中。审核守护进程本身有一些管理员可能希望自定义的配置选项。它们可以在auditd.conf文件中找到。
安装:
sudo apt-get install auditd
并/etc/audit/auditd.conf根据您的喜好进行编辑。
sudo auditctl -l
创建规则(这会改变/etc/audit/rules.d/audit.rules)。auditctl(手册页)解释了如何使用它。但规则需要采用以下形式
auditctl -w /dir/file -p permissions -k key_name