Linux tiene un sistema de archivos robusto y maduro que permite a los usuarios explotar una variedad de herramientas integradas para una variedad de propósitos. Lo más común es que los usuarios accedan a los archivos para poder copiarlos, modificarlos, abrirlos y eliminarlos. A veces esto es intencionado, en otras ocasiones, sobre todo en el caso de los servidores, puede ser malicioso.
Es hora de canalizar tu Sherlock Holmes interior. ¡Vamos a la caza de archivos!
¿Porque es esto importante?
Saber cuándo se usó, se accedió o se modificó un archivo puede ayudar con el acceso no autorizado o simplemente como una forma de realizar un seguimiento de lo que sucedió. Esta investigación podría ser a nivel profesional, con análisis forense dedicado, o a nivel de usuario doméstico, tratando de ver cuál de sus fotos fue copiada y potencialmente dónde terminó. Este artículo también pretende brindar a los administradores de sistemas una guía vital para mejorar su conjunto de herramientas para sus actividades y tareas diarias.
¡Dame los archivos, inmediatamente!
Abra su Terminal y obtenga root si lo necesita. Una vez hecho esto, estará listo para buscar ese archivo difícil de alcanzar o verificar cuándo se ha accedido a las cosas.
los stat El comando puede mostrar el tamaño del archivo, el tipo, el UID/GUID y el tiempo de acceso/modificación.
Aquí está la estadística de mi carpeta «/etc». Note la simplicidad del comando.
Puede ver la fecha en que se accedió por última vez, la hora de modificación y el último cambio.
¡Pero olvidé el nombre!
Esto es algo común, especialmente cuando buscas en un disco duro externo antiguo ese documento o foto que necesitas. Afortunadamente, la Terminal viene al rescate.
El comando necesario es ls.
Hay cuatro variables principales que puede utilizar con ls:
Esto mostrará una lista de todos los archivos, incluidos los que están ocultos:
Esto habilita el formato de lista larga:
Esto muestra la hora en un formato específico:
Esta es la fecha de presentación/usuario en formato %m/%d/%y:
Cuando se juntan, el comando nos da esto. Es la lista básica de mi directorio de inicio en una instalación de prueba de Ubuntu.
Puede ver los permisos, el nombre de usuario, la fecha y la ubicación. En general, esto será suficiente para encontrar el archivo, pero ¿qué sucede si tiene un directorio con cientos o miles de archivos? Recorrerlos manualmente lleva demasiado tiempo. Por lo tanto, podemos acotar un poco agregando la siguiente bandera:
Esto enumerará las cosas en orden alfabético o, si lo prefiere, enumere los archivos por tamaño de esta manera:
Búsqueda adicional
Con los siguientes comandos, los usuarios pueden ver cuándo se accedió a un archivo.
Estas son algunas de las opciones que puede configurar para el time parámetro:
- un momento – actualizado cuando se lee el archivo
- mtime — actualizado cuando el archivo cambia
- ctime — actualizado cuando cambia el archivo, el propietario o los permisos
Buscar y buscar
Otra gran herramienta que tiene Linux es el find comando (más sobre esto aquí). Digamos que necesito los archivos modificados más recientemente, ordenados en orden inverso, escribiría lo siguiente en la Terminal:
find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r
Esto parece un comando muy difícil, pero en realidad no lo es. Se puede encontrar más en el Página del manual de Ubuntu. El resultado está abajo.
Esperamos que este artículo le brinde las habilidades que necesita para trabajar dentro de la Terminal para averiguar qué ha estado sucediendo con un sistema determinado. Le permitirá averiguar «quién, dónde y qué», lo que le permitirá proteger su servidor o simplemente encontrar el documento que necesita. ¿Que usas? ¿Hay alguna herramienta asesina o pieza de software que usas? ¿Hay alguna herramienta que pueda ejecutarse en la Terminal y que tenga una GUI ingeniosa para principiantes? Háganos saber en la sección de comentarios y ayude a sus compañeros entusiastas.