لدى Linux نظام ملفات قوي وناضج يسمح للمستخدمين باستغلال مجموعة متنوعة من الأدوات المدمجة لمجموعة من الأغراض. الأكثر شيوعًا ، سيصل المستخدمون إلى الملفات بحيث يمكن نسخها أو تعديلها أو فتحها أو حذفها. في بعض الأحيان يكون ذلك مقصودًا ، وفي مناسبات أخرى ، خاصة في حالة الخوادم ، يمكن أن يكون هذا ضارًا.
لقد حان الوقت لتوجيه شيرلوك هولمز الداخلي الخاص بك. نحن نذهب لصيد الملف!
لماذا هذا مهم؟
يمكن أن تساعد معرفة متى يتم استخدام الملف أو الوصول إليه أو تغييره من خلال الوصول الغير مصرح به أو ببساطة كطريقة لتتبع ما حدث. يمكن أن يكون هذا التحقيق على المستوى الاحترافي ، مع تحليل جنائي مخصص ، أو على مستوى مستخدم منزلي ، في محاولة لرؤية أي من صوره تم نسخها والتي من المحتمل أن ينتهي بها الأمر. ويهدف هذا المقال أيضًا إلى إعطاء مسؤولي النظام دليلًا حيويًا لتحسين أدواتهم لأنشطتهم ومهامهم اليومية.
أعطني الملفات ، البداية!
افتح Terminal الخاص بك مع صلاحيات الروت إذا كنت في حاجة إليها. بمجرد الانتهاء من ذلك ، ستكون جاهزًا للبحث عن هذا الملف المراوغ أو التحقق من الوقت الذي تم فيه الوصول إلى الأشياء.
يمكن أن يعرض الأمر stat حجم الملف ونوعه و UID / GUID ووقت الوصول / التعديل.
هنا هذا هو stat الخاص بمجلد”/etc“. لاحظ بساطة الأمر.
يمكنك رؤية تاريخ الدخول الأخير ، ووقت التعديل والتغيير الأخير.
لكني نسيت الاسم!
يعد هذا أمرًا شائعًا ، خاصة عند البحث داخل قرص ثابت خارجي قديم لهذا المستند أو الصورة التي تحتاجها. لحسن الحظ يأتي Terminal لإنقاذك.
الأمر المطلوب هو ls.
هناك أربعة متغيرات رئيسية يمكنك استخدامها مع ls:
ls -a
هذا سوف يسرد جميع الملفات ، بما في ذلك تلك المخفية:
ls -l
يتيح ذلك عرض تنسيق القائمة الطويلة:
ls - time-style = FORMAT
يعرض هذا الوقت بتنسيق محدد:
ls +٪ D
هذا هو تاريخ العرض / المستخدم في التنسيق٪ m /٪ d /٪ y:
عندما يتم تجميعها ، يعطينا هذا الأمر. إنها القائمة الأساسية لدليل الرئيسية في على نظام Ubuntu مثبت للإختبار.
يمكنك رؤية الأذونات واسم المستخدم والتاريخ والموقع. في الغالب سيكفي هذا في العثور على الملف ، ولكن ماذا لو كان لديك دليل بالمئات أو الآلاف من الملفات؟ إن الصيد عبرها يدويًا يستغرق وقتًا طويلاً جدًا. لذلك ، يمكننا تضييق البحث بعض الشيء عن طريق إضافة العلامة التالية:
ls -alx --time-style=+%D
هذا سيسرد الأشياء أبجديا ، أو إذا كنت تفضل ، قائمة الملفات حسب الحجم مثل هذا:
ls -als --time-style=+%D
مكافأة البحث
باستخدام الأوامر التالية ، يمكن للمستخدمين رؤية متى تم الوصول إلى الملف.
ls -l --time=atime
في ما يلي بعض الخيارات التي يمكنك تعيينها لمعلمة الوقت:
- atime – يتم تحديثه عند قراءة الملف
- mtime – يتم تحديثه عند تغيير الملف
- ctime – يتم تحديثه عندما يتغير الملف أو المالك أو الأذونات
البحث والسعي
أداة رائعة أخرى يمتلكها نظام لينكس هي أمر البحث (المزيد عنه هنا). لنفترض أنني بحاجة إلى أحدث الملفات التي تم تعديلها ، وتم ترتيبها حسب الترتيب العكسي ، أود كتابة ما يلي في الجهاز:
find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
يبدو هذا أمرًا صعبًا جدًا ، لكنه في الحقيقة ليس كذلك. يمكن العثور على المزيد في الصفحة الأساسية Ubuntu. والنتيجة هي أدناه.
نأمل أن تعطيك هذه المقالة المهارات التي تحتاجها للعمل داخل المبنى لمعرفة ما يحدث مع نظام معين. سيسمح لك ذلك بالكشف عن “من وأين وماذا” مما يتيح لك تأمين الخادم الخاص بك أو ببساطة العثور على المستند الذي تحتاجه. ماذا تستخدم؟ هل هناك بعض الأدوات القاتلة أو البرامج التي تستخدمها؟ هل هناك أداة يمكن تشغيلها في كلا الجهازين ولديها واجهة مستخدم رسومية للمبتدئين؟ اسمحوا لنا أن نعرف في قسم التعليقات ومساعدة زملائك المتحمسين.
