是否有一个日志文件可跟踪用户尝试执行的操作,但由于常规的UNIX文件权限而被拒绝。我知道selinux可以完成任务,但是很多时候,良好的文件权限会首先阻止它们。发生这种情况时,是否有要打印的日志。
谢谢
是否有一个日志文件可跟踪用户尝试执行的操作,但由于常规的UNIX文件权限而被拒绝。我知道selinux可以完成任务,但是很多时候,良好的文件权限会首先阻止它们。发生这种情况时,是否有要打印的日志。
谢谢
Answers:
如何在Linux中设置和使用auditd:
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
不,没有记录。
我最近试图自己解决这个问题。我在audit.rules手册页中找到了答案:
例子
以下规则显示了如何审核由于权限问题导致的文件访问失败。请注意,由于每个文件访问ABI都会失败,并且有两个不同的失败代码表示权限问题,因此访问每个Arch ABI需要两个规则。
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access
不,在库存配置中,没有任何东西可以直接显示“用户bibby被拒绝访问/ root”
您可能能够找到可能增强了审计功能的审计软件,或者发现使用更复杂的ACL访问文件的软件(例如SeLinux),并且它可能会记录内容,但即使Windows也不记录此类权限错误(Sysinternals中存在实用程序) ,但显示Windows即时访问拒绝错误)。
我认为我什至没有遇到过与Unix系统中的功能类似的任何实用程序。
您可以尝试在日志中查找“偶然的”事物,例如邮件或Web服务器程序,这些日志记录了尝试访问特定文件路径的错误,而这些特定文件路径作为您知道的管理员应该在那里。
如果您对系统的安全性感兴趣,以防止讨厌的用户避免讨厌的行为,则可以尝试此处列出的一些实用程序,看看它们是否会对您有所帮助。