Como determinar quando o arquivo foi criado no Linux
Os arquivos desempenham um papel fundamental para o seu sistema operacional, pois são críticos para executar tudo sem problemas e funcionar corretamente. Saber a data de criação de arquivos dos arquivos do sistema às vezes é importante por razões de segurança, como ele diz quando o arquivo foi realmente criado. Por exemplo, se alguém fizer alterações em qualquer arquivo do sistema, você pode encontrar facilmente, algumas alterações foram feitas. Você pode encontrar o tempo de criação do arquivo de qualquer arquivo usando um utilitário chamado “Debugfs”Mas, para utilizar este comando, você precisa primeiro encontrar o número de inode do arquivo, que é um número exclusivo atribuído a todos os novos arquivos quando foi criado primeiro para que isso crie primeiro um arquivo de teste primeiro, digitando.
$ touch testfile.TXT
Depois disso, encontre o arquivo inode, digitando:
$ stat testfile.TXT
Ou você também pode digitar:
$ ls -i testfile.TXT
Depois de obter o número do inode, você precisa digitar o comando a seguir para obter as informações sobre o disco:
$ sudo fdisk -l
Na imagem /dev acima é o arquivo de dispositivo que está presente no diretório raiz, enquanto o SDA5 é o disco rígido que pertence ao sistema operacional Linux, como mostrado abaixo, e você pode obter as informações sobre este diretório específico digitando digitando.
$ sudo debugfs -r 'stat' /dev /sda5
Na imagem acima “CrTime”Dirá o tempo de criação do arquivo de um determinado arquivo e, juntamente com isso, você também pode ver "Ctime", "ATIME" e "Mtime".
Então, na imagem acima, mtime mostrarei o momento em que o arquivo foi alterado ou modificado da última vez. Por exemplo, você pode ter adicionado algo ao arquivo, removido algo do arquivo ou alterado o conteúdo do arquivo.
O próximo é o um tempo Representa quando a última vez que um arquivo foi acessado ou lido, por exemplo, você pode ter aberto o arquivo ou usado o comando CAT para ler o conteúdo de um arquivo. O arquivo não foi alterado ou alterado de forma alguma.
O ctime não se refere a modificações feitas ao conteúdo de um arquivo. Em vez disso, refere -se ao momento em que as informações do arquivo foram atualizadas, por exemplo, alterações nas permissões de arquivo.
Agora vamos tentar encontrar o tempo de criação de arquivos de qualquer arquivo do sistema, por exemplo ”Systemd”E para isso, você precisa primeiro encontrar o número do inode digitando.
$ stat /etc /systemd
Como você pode ver, o número do inode para o “Systemd”O arquivo é 131200, para encontrar o tempo de criação de arquivos que você precisa digitar.
$ sudo debugfs -r 'stat' /dev /sda5
Da mesma forma, você pode encontrar o registro de data e hora de criação de arquivos para vários arquivos escrevendo um único comando:
$ stat /etc /systemd /etc /sysctl.d
Se você estiver interessado quando os arquivos criados foram modificados da última vez, pode fazer isso digitando:
$ ls -l
Se você está procurando um arquivo específico, precisa seguir a sintaxe geral abaixo:
$ ls -l file_name
Por exemplo:
$ ls -l testfile.TXT
Da mesma forma, você pode ver isso quando o registro de data e hora para quando o arquivo foi modificado e seu conteúdo alterado digitando:
$ ls -lc testfile.TXT
$ ls -lu testfile.TXT
Como você pode ver que o carimbo de data e hora dos comandos acima é o mesmo, por assim dizer, para dar uma imagem melhor, vamos editar o arquivo de texto escrevendo qualquer linha aleatória e salvar esse arquivo. Isso mudará o carimbo de data e hora e você verá uma nova hora, como mostrado abaixo:
Conclusão
O Linux OS pode ter vários usuários e conhecer o tempo de criação de arquivos às vezes é importante, especialmente para administradores de sistema. Diferentes usuários têm diferentes tipos de especialização. Portanto, para fins de auditor.