如何检测 Linux 上文件所有权的变化？

我认为您可以对特定文件/目录使用审核，也可以根据您的要求编写自定义规则

        auditctl -w <path to the file you need to monitor> -p war -k test

        Where -w is for specifying file path
        -p is for permission access (read,write,execute and attribute change)
        -k key name,you can give name you can use to filter audit rule

然后你可以使用搜索它

        ausearch -ts today -k test

例如我用这个，创建这个文件 /tmp/test 然后写一些随机数据

       auditctl -w /tmp/test -p warx -k test

然后执行这个命令

       ausearch -ts today -k test

      --ts for start date
      -k is for key string

所以这个的输出

  type=SYSCALL msg=audit(1407949301.821:63216): arch=c000003e syscall=191 success=no
  exit=-61 a0=eacca0 a1=3600005db7 a2=7fff15265180 a3=84 items=1 ppid=2384 pid=16921
  auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=10096
  comm="vim" exe="/usr/bin/vim" key="test"

因此，如果您检查输出的最后一行，它将显示执行的命令是 vim 并且 uid=0 是 root

如果您想让这些更改在重新启动后保持不变，请在 /etc/audit/audit.rules 中添加这样的条目

  -w /tmp/test -p warx -k test

并确保 auditd 服务已启动并正在运行

  service auditd status 

有关更多信息，您可以参考http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

一个快速的谷歌揭示了 Linux 内核中的 inotify api。

Inotify（inode notify）是一个 Linux 内核子系统，用于扩展文件系统以通知文件系统的更改，并将这些更改报告给应用程序

我找不到任何允许您直接使用 inotify 观看文件的应用程序。但是有inotify-tools包，它允许您访问脚本中的 api。

它本身并不能告诉您谁更改了什么，但您可以使用此 api 构建一个脚本来缩小范围。例如，通过将其与 lsof 和 ps

抱歉，标准 Linux 系统中没有任何东西可以进行这种级别的日志记录。但是，您可能必须编写一个脚本，即使这是一个成功或失败的提议。

嗯....您也许可以在文件上设置不可变位来保护它，看看谁抱怨它无法更改：

 chattr +i filename1 ... filenamen