Bazı durumlarda, özellikle yönetimini sizin yapmadığınız linux ya da unix sistemlerde yapılmış olan değişiklikleri belirmek ve sistem üzerinde hangi conf dosyalarının editlendiğini görmek isteyebilirsiniz.

Her ne kadar işletim sisteminin audit özelliği devrede ise bu tip işleri audit loglarında bulabilirsiniz. Fakat böyle bir şansınız yoksa ilgili dosyaları saptamak kullanabileceğiniz bir iki yöntem daha bulunuyor.

Örneğin find komutunu kullanarak sistemde belli bir zamandan önce ya da sonra yapılmış değişiklikleri saptayabilirsiniz.

Mesela,

# find /etc -type f -mmin -90

bu komut “/etc” dizini altında “son 90 dakikada” değiştirilmiş “dosyaların” listelenmesini sağlar.

-mmin parametresi dakika bazında değerlendirme yapıyor ve ayrıca (+) ve (–) olmak üzere iki kullanım şekli var. Yukarıdaki örneğe göre, eğer +mmin derseniz son 90 dakikadan önce editlenmiş dosyalar listelenir. -mmine ise 90 dakika içerisinde yapılan değişiklikleri listeler.

Ayrıca, mmin gibi bir de mtime parametresi bulunmaktadır ki bu da gün bazında değerlendirme yapar. Yani -mtime -1 derseniz son bir gün içerisinde değiştirilmiş dosyalar listelenecektir.

Şöyle;

# find /etc -type f -mtime -1

Find komutu ile yapılabilecekleri geliştirmek mümkün. Kendi ihtiyaçlarınıza göre doğru parametrelerle sistemi didiklemek mümkün.

Eğer işletim sistemi RPM tabanlı (rhel, centos, Fedora gibi) bir dağıtımda bir başka yöntem ise, rpm komutunun –verify parametresinden yararlanmaktır. Aşağıdaki komut bir rpm ile kurulmuş paketlere ait dosyalarda yapılmış değişiklikleri listeler.

# rpm -qa | xargs rpm --verify --nomtime | less

Bu şekilde editlenmiş tüm dosyaları saptamak mümkün oluyor.