如何監控文件的更改

Debian 9 伺服器上的某些文件在我修改後會定期覆蓋為原始狀態。我找不到哪個程序/程序正在做這項工作。crontab 上沒有定義任何內容。可能來自遠端伺服器（即 Ansible/Puppet），但我找不到證據。

我嘗試使用lsof，fuser但沒有程序使用這些文件。

我的問題是如何設置監視器來監視這些文件並找出哪些程序更改了它們的內容。

好問題！入侵檢測系統用於這樣的事情，或者至少它們可能是這樣的，所以也許其中之一（助手，絆線，……）已經具有這種能力，或者可以在那裡詢問它。

如果您事先知道正在修改的文件（或保持不變的重要文件列表以及表明您自己修改它們的時間和使用者名），您可以使用此處建議的內容。

如果你想auditd 在這裡使用，你可以找到這樣做的指南。

引用自：https://unix.stackexchange.com/questions/628134