получить IP-адрес, который изменил файл

Я ищу способ получить историю файла, такую ​​как дата изменения, кто изменил этот файл (IP-адрес или имя пользователя), измененные строки

Есть ли способ получить IP-адрес или имя пользователя, кто изменил файл в Linux?

3 Solutions collect form web for “получить IP-адрес, который изменил файл”

Скорее всего, за один шаг, но вы можете увидеть, кто зашел в систему с помощью w и вы можете совместить время модификации файлов, показанных stat, с зарегистрированным временем пользователя. Если файл не 777, вы также можете разрешить разрешения данного пользователя фильтровать это только тем, кто может редактировать файл. В противном случае просмотрите события файловой системы аудита.

Чтобы отслеживать историю входа в систему, вы можете попробовать Utmpdump . Это даст вам пользователям, временам, ipaddresses логинов

для отображения содержимого / var / run / utmp выполните следующую команду:

 utmpdump /var/run/utmp 

Чтобы сделать то же самое с / var / log / wtmp:

 utmpdump /var/log/wtmp 

И с / var / log / btmp:

 utmpdump /var/log/btmp 

вы можете использовать следующую команду для перечисления всех событий входа определенного пользователя (пример: USER12345 ) и отправки вывода в CSV-файл, который можно просмотреть с помощью пейджера или приложения для рабочей книги, например LibreOffice Calc или Microsoft Excel.

Покажем только PID, имя пользователя, IP-адрес и временную метку:

 utmpdump /var/log/wtmp | grep -E "\[7].*USER12345" | awk -v OFS="," 'BEGIN {FS="] "}; {print $2,$4,$7,$8}' | sed -e 's/\[//g' -e 's/\]//g' 

Если кто-то меняет файлы удаленно без разрешения, у вас очень серьезные проблемы с безопасностью.

Вы должны отключить аппарат от Интернета, создавать резервные копии только файлов конфигурации и данных, перебирать их с помощью тонкой расческой, чтобы убедиться, что ничто не является подозрительным, переустанавливайте с нуля, убедитесь, что вы не запускаете какие-либо уязвимые программы (специально написанные пользователем одни!), замените все пароли на безопасные, запретите, например, пароли SSH-соединения. Прочтите информацию о защите вашего дистрибутива, о том, как регулярно настраивать журнал и анализировать журналы .

Мои соболезнования.

  • Статическая конфигурация IP на openSUSE
  • CentOS 6 - Порядок сетевых интерфейсов при запуске команды «ip address show»
  • В чем разница между `/ sbin / ip route` и` / sbin / route`?
  • Должны ли точки OpenVPN указывать на точечные туннели на разных портах?
  • Два разных IP-адреса для одного интерфейса NIC
  • Назначение конкретного IP-приложения
  • Подключение к локальному хосту через системный IP-адрес
  • Heartbeat с виртуальным IP-адресом в Ubuntu 12.04
  • Как использовать маршрутизацию для использования следующего доступного inetface
  • IP-адрес источника локальных DNS-запросов на локальный сервер?
  • Пакеты IPv6, введенные в интерфейс tun, переходят в стек IPv4
  • Как перенаправить конкретные адреса через туннель?
  • Interesting Posts

    Как удалить символы из столбца с помощью awk

    Можно ли использовать rsync для создания только жестких ссылок, а не копий?

    nginx не перезапустится

    Ошибка при подключении к динамику bluetooth: `org.bluez.Error.Failed`

    Как восстановить мою службу systemd при обновлении ее зависимостей

    Удалите все, кроме последнего n файла для каждой группы файлов, которые имеют один и тот же префикс в каталоге

    Как клонировать удаленную систему Linux и сделать файл изображения с ним локально?

    создать пользователя только с разрешениями на выполнение программ C

    передавая переменные от 'ls' до 'tar' через 'xargs'

    Пароли Samba истекают через x дней – как мы их исправим, чтобы не истечь

    Xorg висит перед экраном входа в систему

    Имеет ли FUSE какое-либо конкретное взаимодействие с кешем?

    Использование scp с пересылаемым агентом ssh

    Приостановить Linux (Mint) с подключенным внешним жестким диском

    Debian jessie, primus и 32-разрядные приложения

    Linux и Unix - лучшая ОС в мире.