C'est loin d'être fiable, mais si nous parlons de l'accès au shell, vous pouvez croiser l'heure de modification du fichier avec les utilisateurs connectés à ce moment ( last), puis vérifier leur ~ / .bash_history (ou équivalent) pour éditer les commandes. Même grep -H filename /home/*/.bash_historypourrait vous donner un point de départ.
La statcommande vous montre tout ce qui est connu sur un fichier (sauf le contenu réel). Vous pouvez ajouter l'option -Z pour obtenir des informations SELinux; mais rien de tout cela ne vous indique qui a modifié le fichier en dernier.
Réponses:
C'est loin d'être fiable, mais si nous parlons de l'accès au shell, vous pouvez croiser l'heure de modification du fichier avec les utilisateurs connectés à ce moment (
last), puis vérifier leur ~ / .bash_history (ou équivalent) pour éditer les commandes. Mêmegrep -H filename /home/*/.bash_historypourrait vous donner un point de départ.la source
Non, il n'y a aucun moyen fiable de le découvrir.
La
statcommande vous montre tout ce qui est connu sur un fichier (sauf le contenu réel). Vous pouvez ajouter l'option -Z pour obtenir des informations SELinux; mais rien de tout cela ne vous indique qui a modifié le fichier en dernier.la source