"ls -al mostra apenas o nome do usuário que criou esse diretório." Não. Ele mostra o nome do usuário que "possui" esse diretório.
11137 Roger Lipscombe
1
@RogerLipscombe, que, a menos que alguém (limitado rootapenas à maioria dos sistemas) tenha feito isso chownno diretório, será o uid efetivo do processo que criou esse diretório.
Stéphane Chazelas
6
Claro, geralmente são iguais, mas não precisam ser .
Roger Lipscombe
Respostas:
30
Normalmente, essas informações não são registradas, a menos que você tenha uma disposição especial nesse sentido (como em algum sistema de auditoria).
O serviço através do qual o usuário renomeou o diretório (como FTP, SFTP, WebDAV, samba ...) pode ter registros que podem ajudar. Você pode tentar e verificar os registros, o last, lastcomm, audit, autenticação registra em torno do tempo que a pasta foi renomeada.
Se você é administrador, pode ver o arquivo de histórico dos shells dos usuários que tiveram permissão para renomeá-lo (se o diretório foi renomeado de /A/dirpara /B/newdir, é quem teve acesso de gravação a ambos /Ae /B(supondo /Aque não tenha o tbit em suas permissões e /A/dire /Bestão no mesmo sistema de arquivos)).
Você não pode. Como renomear um diretório (ou arquivo) está alterando uma entrada em um diretório (pai), ele deve ter sido alguém com permissões de gravação nesse diretório, mas não está registrado em nenhum lugar que altera arquivos / diretórios.
O LoggedFS é um sistema de arquivos baseado em fusível que pode registrar todas as operações que acontecem nele.
Como funciona ?
O fusível faz quase tudo. O LoggedFS envia apenas uma mensagem para o syslog quando chamado pelo fusível e deixa o sistema de arquivos real fazer o resto do trabalho.
Está disponível como deb no Ubuntu. Coisa muito engraçada. No entanto, quando você tentar usá-lo em um servidor ocupado, ele consumirá todo o espaço em disco com facilidade.
rootapenas à maioria dos sistemas) tenha feito issochownno diretório, será o uid efetivo do processo que criou esse diretório.Respostas:
Normalmente, essas informações não são registradas, a menos que você tenha uma disposição especial nesse sentido (como em algum sistema de auditoria).
O serviço através do qual o usuário renomeou o diretório (como FTP, SFTP, WebDAV, samba ...) pode ter registros que podem ajudar. Você pode tentar e verificar os registros, o
last,lastcomm,audit, autenticação registra em torno do tempo que a pasta foi renomeada.Se você é administrador, pode ver o arquivo de histórico dos shells dos usuários que tiveram permissão para renomeá-lo (se o diretório foi renomeado de
/A/dirpara/B/newdir, é quem teve acesso de gravação a ambos/Ae/B(supondo/Aque não tenha otbit em suas permissões e/A/dire/Bestão no mesmo sistema de arquivos)).fonte
Você não pode. Como renomear um diretório (ou arquivo) está alterando uma entrada em um diretório (pai), ele deve ter sido alguém com permissões de gravação nesse diretório, mas não está registrado em nenhum lugar que altera arquivos / diretórios.
fonte
Você pode usar o logfs .
Está disponível como deb no Ubuntu. Coisa muito engraçada. No entanto, quando você tentar usá-lo em um servidor ocupado, ele consumirá todo o espaço em disco com facilidade.
fonte