yo tengo Linux es un poderoso sistema de archivos Maduro permite a los usuarios explotar una variedad de herramientas integradas para una variedad de propósitos. Lo más común es que los usuarios accedan a los archivos para poder copiarlos, modificarlos, abrirlos o eliminarlos. A veces esto es intencionado, y en otras ocasiones, sobre todo en el caso de los servidores, puede ser perjudicial.
Es hora de canalizar tu Sherlock Holmes interior. ¡Vamos a la caza de archivos!
¿Porque es esto importante?
Saber cuándo se ha utilizado, accedido, cambiado un archivo a través de un acceso no autorizado o simplemente como una forma de realizar un seguimiento de lo que sucedió puede ayudar. Esta investigación podría ser a nivel profesional, con un análisis forense dedicado, o a nivel de un usuario doméstico, tratando de ver cuáles de sus imágenes fueron copiadas y cuáles es probable que terminen. Este artículo también tiene como objetivo brindar a los administradores de sistemas una guía vital para mejorar sus herramientas para sus actividades y tareas diarias.
¡Dame los archivos, empieza!
Abra su Terminal con permisos de root si lo necesita. Una vez hecho esto, estará listo para buscar ese archivo dudoso o verificar cuándo se accedió a las cosas.
puede mostrar el comando stat Tamaño de archivo, tipo de archivo, UID/GUID, tiempo de acceso/modificación.
aqui esta stat carpeta"/ Etc. Nótese su sencillez.
Puede ver la fecha de la última entrada, la hora de la última modificación y el cambio.
¡Pero olvidé el nombre!
Esto es común, especialmente cuando buscas dentro de un disco duro externo antiguo ese documento o imagen que necesitas. Afortunadamente Terminal viene a tu rescate.
Lo que se requiere es ls.
Hay cuatro variables principales que puede utilizar con ls:
ls -a
Esto mostrará una lista de todos los archivos, incluidos los ocultos:
ls -l
Esto permite la visualización del formato de lista larga:
ls - time-style = FORMAT
Muestra esta hora en un formato específico:
ls +٪ D
Esta es la fecha de visualización/utilizada en el formato% m / % d / % y:
Cuando se compila, nos da este comando. Es el menú principal de la guía principal en el sistema ubuntu instalado para la prueba.
Puede ver los permisos, el nombre de usuario, la fecha y la ubicación. En general, esto será suficiente para encontrar el archivo, pero ¿qué sucede si tiene un directorio con cientos o miles de archivos? Pescar a través de él manualmente lleva mucho tiempo. Entonces, podemos acotar un poco la búsqueda agregando la siguiente etiqueta:
ls -alx --time-style=+%D
Esto enumerará las cosas en orden alfabético o, si lo prefiere, enumerará los archivos por tamaño de esta manera:
ls -als --time-style=+%D
Recompensa de búsqueda
Con los siguientes comandos, los usuarios pueden ver cuándo se accedió al archivo.
ls -l --time=atime
Aquí hay algunas opciones que puede configurar para el parámetro de tiempo:
- un momento - Se refresca cuando se lee el archivo
- mtime - Se actualiza cuando se cambia el archivo
- ctime - Actualizado cuando cambia el archivo, el propietario o los permisos
buscar y buscar
Otra gran herramienta que tiene Linux es el comando de búsqueda. (más sobre esto aquí). Digamos que necesito los archivos modificados más recientemente y están ordenados en orden inverso, me gustaría escribir lo siguiente en la terminal:
find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
Esto parece muy difícil, pero en realidad no lo es. Se puede encontrar más en Página de inicio de Ubuntu. El resultado está abajo.
Esperamos que este artículo le brinde las habilidades que necesita para trabajar dentro de un edificio y ver qué sucede con un sistema en particular. Esto le permitirá detectar "quién, dónde y qué", permitiéndole asegurar su servidor o simplemente encontrar el documento que necesita. ¿Que estas usando? ¿Hay algunas herramientas o software asesinos que usas? ¿Hay alguna herramienta que pueda ejecutarse en ambos dispositivos y tenga una GUI para principiantes? Háganos saber en la sección de comentarios y ayude a sus compañeros entusiastas.