我需要检查我电脑上访问的文件列表(例如:昨天的特定时间)。这可行吗?
或者
我需要检查是否有人在我离开电脑解锁的时候,在特定的时间内访问了它。
或者
我需要检查是否有人在我离开电脑解锁的时候,在特定的时间内访问了它。
我假设你认为你的计算机没有完全被入侵(要检查谁在运行sudo命令,请查看/var/log/auth.log
)。
可以通过使用find
命令快速找到不属于你用户的文件和任何文件的访问时间(对于文件使用-type f
,对于目录使用-type d
)。对于以下示例,我假设你从你的主目录顶层运行(只需输入cd
即可进入),并且你不想搜索根目录中的文件。
1)要查找所有不属于当前登录用户的文件,请在你的主目录中键入:
find ~ -type f ! -user $USER
find ~ -type f -nouser
mtime
(文件修改时间),ctime
(inode 改变时间和权限)以及 atime
(文件访问时间)。可以通过查询这些时间戳来了解文件是如何被修改的。人们经常争论应该使用其中哪一个,但最好的方法可能是使用 find
命令来搜索 atime
和 mtime
,您可以指定几天前,并且还可以使用附加的 find
选项 amin
和 mmin
,您可以指定几分钟前。-atime 1
将匹配那些恰好在1天前被访问的文件;要指定“更多”或“更少”,请分别添加 +
或 -
。下面的示例可能会澄清所有这些(对于目录,请指定 -type d
):find ~ -type f -atime 1
find ~ -type f -amin -23
find ~ -type f -mtime 2
find ~ -type f -mmin -45
find ~ -type f -atime -2 ! -user $USER
find ~ -type f -mtime -2 ! -user $USER