quien o quienes modificaron un archivo?

vicskorpio

Lanero Reconocido
2 Sep 2004
317
Buenos días, para utilizar como herramienta de auditoria existe algún comando en linux que me permita ver al menos las tres ultimas personas que modificaron un archivo con fecha y hora por ejemplo el archivo squid.conf
 

tatgren

Lanero Reconocido
27 Jul 2005
245
primero tienes que saber a que grupo y usuario pertenece el archivo, segundo validar que permisos tiene, si 644 o 777 o el que sea para validar si dicho archivo lo pueden modificar un grupo y si es asi empezar a validar los .sh_history de los usuarios pertenecientes a ese grupo (algo engorroso si son muchos), no te daras cuenta de la hora pero si podras ver quien lo modifico al menos, la otra seria pero ya ara ver quien te lo esta modificando y es con el comando:
script -q <file-name>mira el man de dicho comando y no cierres tu sesion porque ahi te llega la auditoria, es de paciencia pero funciona
 

kemark

Lanero Reconocido
9 Abr 2003
2,499
podrias hacer o buscar un modulo para el kernel

pero, quien mas modifica esos archivos si no el root?

organiza bien tu esquema de permisos del sistema para no tener inconvenientes