Cómo determinar cuándo se creó el archivo en Linux
Los archivos juegan un papel clave para su sistema operativo, ya que son críticos para ejecutar todo sin problemas y funcionan correctamente. Conocer la fecha de creación de archivos de los archivos del sistema a veces es importante por razones de seguridad, ya que le indica cuándo se creó el archivo realmente. Por ejemplo, si alguien realizó cambios en cualquier archivo del sistema, entonces puede encontrar fácilmente, se hicieron algunos cambios. Puede encontrar el tiempo de creación de archivos de cualquier archivo utilizando una utilidad llamada "debugfs"Pero para utilizar este comando, primero debe encontrar el número de inodoro del archivo, que es un número único asignado a cada archivo nuevo cuando se creó primero, así que para eso primero cree un archivo de prueba primero escribiendo.
$ touch testfile.TXT
Después de eso, encuentre el archivo inodario escribiendo:
$ Stat TestFile.TXT
O también puedes escribir:
$ LS -I TestFile.TXT
Después de obtener el número de inodo, debe escribir el siguiente comando para obtener la información sobre el disco:
$ sudo fdisk -l
En la imagen /desarrollo anterior está el archivo de dispositivo que está presente en el directorio raíz, mientras que SDA5 es el disco duro que pertenece al sistema operativo Linux como se muestra a continuación y puede obtener la información sobre este directorio específico escribiendo.
$ sudo debugfs -r 'stat' /dev /sda5
En la imagen de arriba "hormigueo"Tendrá la hora de creación de archivo de un archivo determinado y, junto con eso, también puede ver "Ctime", "atime" y "mtime".
Entonces en la imagen de arriba, MITIA le mostrará el momento en que el archivo fue alterado o modificado la última vez. Por ejemplo, es posible que haya agregado algo al archivo, eliminado algo del archivo o haya cambiado el contenido del archivo.
El siguiente es el un momento Representa cuando se accedió o lee en la última vez que se accedió o lee un archivo, por ejemplo, es posible que haya abierto el archivo o haya utilizado el comando CAT para leer el contenido de un archivo. El archivo no ha sido alterado ni cambiado de ninguna manera.
El ctime no se refiere a las modificaciones realizadas en el contenido de un archivo. Más bien, se refiere al momento en que se actualizó la información del archivo, por ejemplo, cambios en los permisos del archivo.
Ahora intentemos encontrar el tiempo de creación de archivos de cualquier archivo del sistema, por ejemplo, "system"Y para eso, primero debe encontrar el número de inodo escribiendo.
$ stat /etc /systemd
Como puede ver, el número de inodo para el "systemEl archivo es 131200, por lo que para encontrar el tiempo de creación de archivos, necesita escribir.
$ sudo debugfs -r 'stat' /dev /sda5
Del mismo modo, puede encontrar la marca de tiempo de creación de archivos para múltiples archivos escribiendo un solo comando:
$ stat /etc /systemd /etc /sysctl.d
Si está interesado en cuándo se modificaron los archivos creados la última vez, puede hacerlo escribiendo:
$ ls -l
Si está buscando un archivo específico, debe seguir la sintaxis general a continuación:
$ ls -l file_name
Por ejemplo:
$ LS -L TestFile.TXT
Del mismo modo, puede ver que cuando la marca de tiempo para cuándo se modificó el archivo, y su contenido cambió escribiendo:
$ LS -LC TestFile.TXT
$ LS -LU TestFile.TXT
Como puede ver que la marca de tiempo para los comandos de arriba es la misma, por lo que para darle una imagen mejor, editemos el archivo de texto escribiendo cualquier línea aleatoria y luego guarde ese archivo. Esto cambiará la marca de tiempo, y verá un nuevo momento, como se muestra a continuación:
Conclusión
Linux OS puede tener múltiples usuarios en TI y conocer el tiempo de creación de archivos a veces es importante, especialmente para los administradores del sistema. Diferentes usuarios tienen diferentes tipos de experiencia, por lo que para fines de auditoría, es necesario saber qué usuario está creando qué tipo de archivo por razones de seguridad, ya que también podría contener virus.