Чи є файл журналу, який відслідковує те, що користувачі намагаються робити, і йому відмовляють через регулярні дозволи Unix. Я знаю, що selinux робить щось, але багато часу хороші дозволи файлу ole 'зупиняють їх першими. Коли це відбувається, чи є журнал, до якого надрукується
Дякую
Відповіді:
Як налаштувати та використовувати аудит в Linux:
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
Ні, це не зареєстровано.
Auditctl дозволяє реєструвати доступ до файлів, у тому числі заборонений доступ.
To see unsuccessful open call's:
auditctl -a exit,always -S open -F success!=0
Я нещодавно намагався вирішити цю проблему сам. Я знайшов відповідь на сторінці audit.rules:
Приклади
Наступне правило показує, як перевірити невдалий доступ до файлів через проблеми з дозволом. Зауважте, що для кожної арки ABI для перевірки цього потрібно два правила, оскільки доступ до файлів може бути невдалим з двома різними кодами відмов, що вказують на проблеми з дозволом.
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access
Ні, в конфігураціях запасів немає нічого, що безпосередньо показує "користувачеві, котрий було заборонено доступ до / root"
Можливо, ви зможете знайти програмне забезпечення для аудиту, яке може мати розширений аудит, або можливо програмне забезпечення (наприклад, SeLinux), яке використовує більш складний доступ ACL до файлів і може реєструвати речі, але навіть Windows не записує таких помилок дозволу (є утиліти з Sysinternals які показують доступ у режимі льоту, але відхилено помилки для Windows).
Я не думаю, що я навіть натрапив на будь-які утиліти, подібні до функціональності в системах Unix.
Ви можете спробувати шукати "випадкові" речі в журналах, як-от поштові або веб-серверні програми, які реєструють помилки, намагаючись отримати доступ до певних файлових шляхів, які як адміністратора ви знаєте, повинні бути там.
Якщо вас зацікавила безпека у вашій системі, щоб утримати набридливих користувачів від неприємних дій, ви можете спробувати деякі з перерахованих тут утиліт і побачити, чи допоможуть вони вам.