получить IP-адрес, который изменил файл

Я ищу способ получить историю файла, такую ​​как дата изменения, кто изменил этот файл (IP-адрес или имя пользователя), измененные строки

Есть ли способ получить IP-адрес или имя пользователя, кто изменил файл в Linux?

  • Как установить свойства протокола Интернета с помощью терминала?
  • странная сетевая проблема coLinux
  • Почему существует так много изменений localhost по умолчанию / etc / hosts?
  • Проблемы с сетевым подключением между разными хостами из сетевого пространства имен в одном хосте
  • Изменение файла хоста в Ubuntu
  • Анализ журнальных файлов для частых IP-адресов
  • Привилегированный клиент ip при отправке почты
  • IP-адрес, назначенный при использовании 3G-модема USB
  • 3 Solutions collect form web for “получить IP-адрес, который изменил файл”

    Скорее всего, за один шаг, но вы можете увидеть, кто зашел в систему с помощью w и вы можете совместить время модификации файлов, показанных stat, с зарегистрированным временем пользователя. Если файл не 777, вы также можете разрешить разрешения данного пользователя фильтровать это только тем, кто может редактировать файл. В противном случае просмотрите события файловой системы аудита.

    Чтобы отслеживать историю входа в систему, вы можете попробовать Utmpdump . Это даст вам пользователям, временам, ipaddresses логинов

    для отображения содержимого / var / run / utmp выполните следующую команду:

     utmpdump /var/run/utmp 

    Чтобы сделать то же самое с / var / log / wtmp:

     utmpdump /var/log/wtmp 

    И с / var / log / btmp:

     utmpdump /var/log/btmp 

    вы можете использовать следующую команду для перечисления всех событий входа определенного пользователя (пример: USER12345 ) и отправки вывода в CSV-файл, который можно просмотреть с помощью пейджера или приложения для рабочей книги, например LibreOffice Calc или Microsoft Excel.

    Покажем только PID, имя пользователя, IP-адрес и временную метку:

     utmpdump /var/log/wtmp | grep -E "\[7].*USER12345" | awk -v OFS="," 'BEGIN {FS="] "}; {print $2,$4,$7,$8}' | sed -e 's/\[//g' -e 's/\]//g' 

    Если кто-то меняет файлы удаленно без разрешения, у вас очень серьезные проблемы с безопасностью.

    Вы должны отключить аппарат от Интернета, создавать резервные копии только файлов конфигурации и данных, перебирать их с помощью тонкой расческой, чтобы убедиться, что ничто не является подозрительным, переустанавливайте с нуля, убедитесь, что вы не запускаете какие-либо уязвимые программы (специально написанные пользователем одни!), замените все пароли на безопасные, запретите, например, пароли SSH-соединения. Прочтите информацию о защите вашего дистрибутива, о том, как регулярно настраивать журнал и анализировать журналы .

    Мои соболезнования.

    Linux и Unix - лучшая ОС в мире.