ユーザーが実行しようとしたことを追跡し、通常のUNIXファイルのアクセス許可のために拒否されたログファイルはありますか。私はselinuxが物事を行うことを知っていますが、多くの場合、適切なole 'ファイルのアクセス許可は最初にそれらを停止します。これが発生した場合、出力されるログはありますか?
ありがとう
ユーザーが実行しようとしたことを追跡し、通常のUNIXファイルのアクセス許可のために拒否されたログファイルはありますか。私はselinuxが物事を行うことを知っていますが、多くの場合、適切なole 'ファイルのアクセス許可は最初にそれらを停止します。これが発生した場合、出力されるログはありますか?
ありがとう
回答:
Linuxでauditdをセットアップして使用する方法:
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
いいえ、ログに記録されません。
最近、この問題を自分で解決しようとしていました。その答えは、audit.rulesマンページで見つかりました。
例
次のルールは、権限の問題が原因でファイルへのアクセスに失敗したことを監査する方法を示しています。ファイルアクセスはアクセス許可の問題を示す2つの異なるエラーコードで失敗する可能性があるため、これを監査するには、各アーチABIに2つのルールが必要です。
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access
いいえ、ストック構成では、「user bibbyが/ rootへのアクセスを拒否された」ことを直接示すものはありません。
監査が強化されている可能性のある監査ソフトウェア、またはファイルへのより複雑なACLアクセスを使用するソフトウェア(SeLinuxなど)を見つけてログに記録することができるかもしれませんが、Windowsでもそのようなアクセス許可エラーを記録しません(Sysinternalsにユーティリティがあります)ただし、Windowsのオンザフライアクセス拒否エラーが表示されます)。
Unixシステムの機能と同様のユーティリティに出会ったことはないと思います。
メールやWebサーバープログラムなど、管理者として知っておくべき特定のファイルパスにアクセスしようとするエラーをログに記録する「偶発的な」ものをログで探すことができます。
厄介なユーザーが厄介な行動をするのを防ぐためにシステムのセキュリティに関心がある場合は、ここにリストされているユーティリティのいくつかを試して、それらが役立つかどうかを確認できます。