小智 9
您可以按照另一个答案中的建议使用auditd包。一个简单的用法是:
auditctl -w /etc/passwd -p war -k 密码文件
这将观看W¯¯仪式,一个PPEND,[R此文件EAD操作。
然后,您可以通过以下命令检索审计日志:
ausearch -f /etc/passwd
这些示例取自本文,它提供了对这些命令的更全面概述。该进程auditd包典型地包括了这些命令。
如果您只对监视对文件的操作感兴趣,而不对实际执行这些操作的人感兴趣,则可以使用inotifywatch命令而不是启用审计。这通常可通过inotify-tools包获得。它使用 linux 的inotify接口记录文件系统事件。
好吧,如果你的意思是过去,你可能不能,除非你开启了某种审核。
假设您不这样做,您可以查看文件和目录的权限以了解谁有权访问。您可以 grep 每个人的 .bash_history 文件以获取文件名。
据我所知,就是这样。如果他们仍然打开它,您可以使用 lsof 等。