Linux文件修改记录：跟踪及记录每次更改（linux文件修改记录）

文件修改记录是指为了贯彻Linux系统安全管理政策，及时发现安全威胁并及时作出响应，跟踪及记录每次修改Linux文件内容的解决方案之一。通过文件修改记录，能够更有效更有条理地管理系统文件，使得系统文件变更管理变得更为安全。

Linux文件的安全管理需要系统管理员及时跟踪和记录每次对系统文件的变更，以方便检查及定位系统文件改变的历史状态，集中管理各种软硬件资源，以保证安全运行。文件记录修改过程中通常包括文件名，大小，行数，列数，修改时间及修改人、文件hash码等信息，由此可以更好地定位出对文件的变更。

为了跟踪及记录每次修改Linux文件内容，需要系统管理员设置Linux的文件修改记录，以便及时发现有害信息及时做出反应，避免黑客从远程破坏或恶意改变系统文件造成损失。系统管理员可以使用一些cookie工具来跟踪文件修改记录，例如系统定期自动调用Linux系统中的 inotifywait 命令，可以监控Linux系统文件变更事件，比如文件创建，文件删除，文件修改等，并记录变更详细日期等信息：

#监控/var文件夹下由进程apache2增加的文件

inotifywait -mrq –format ‘%e %w %f %T %X’ –timefmt ‘%Y-%m-%d %T’ -e create /var/ | while read file

do

pid=$(ps -aux | grep “${file#*/}” |awk ‘{print $2}’)

if [[ $(echo $pid | grep apache2) ]];then

echo “$file 被进程apache2修改”

fi

done

另外，还可以使用auditd 的-w参数来实现跟踪Linux系统文件变更记录功能。通过设置auditd 的-w参数依据文件路径或文件名来定位文件，然后将文件的变更内容记录到特定的审计日志中，例如：

#系统记录/var/www/html中所有文件的修改记录

auditctl -w /var/www/html -p wa

通过文件修改记录，可以更有效的管理系统文件，系统管理员可以及时发现文件修改的情况，以便做出及时响应，有效地避免恶意文件变更造成的损失。