Kdo mi cmare do souboru ?

[Cejka Rudolf]

Dan Lukes wrote (2020/05/26):
> Doufal jsem, ze
> existuje neco hotovyho nebo prinejmensim snadneji upravitelnyho. Treba v
> ramci auditingu, o kterym moc nevim co umi.

Audit je spíš o uživatelích než o souborech. Pokud máš množinu
potenciálních uživatelů, pak by třeba trošku pomoct mohl.

Do /etc/rc.conf přidej auditd_enable="YES".

Do /etc/security/audit_user přidej pro každého potenciálního
uživatele user:ex,fw:no. Seznam sledovatelných tříd je
v /etc/security/audit_class a dají se dodefinovat vlastní.
"fw" je sledování zápisů, "ex" pro dohledání, který proces
zápis provedl.

Spusť audit /etc/rc.d/auditd start.

Výpis všech záznamů např. praudit [-lx] /var/audit/current.

Pokud tě zajímá jen konkrétní soubor, můžeš výpis záznamů omezit
na vybraný soubor přes auditreduce.

Po ukončení auditu /etc/rc.d/auditd stop zůstává log ve /var/audit, např.:

# auditreduce -o file=/root/x /var/audit/20200526110902.20200526111500  | praudit -lx
<?xml version='1.0' ?>
<audit>
<record version="11" event="openat(2) - write,creat,trunc" modifier="0" time="Tue May 26 13:14:38 2020" msec=" + 177 msec" ><argument arg-num="3" value="0x1b6" desc="mode" /><argument arg-num="2" value="0x601" desc="flags" /><path>/root/x</path><subject audit-uid="root" uid="root" gid="wheel" ruid="root" rgid="wheel" pid="4309" sid="4293" tid="..." /><return errval="success" retval="10" /></record>

Ale obsah vidět není. Jo a ještě je to hlavně pro uživatele, kteří se
normálně přihlašují. Na systémové dénony je to otázka. Záleží kdy a jak
se spouštějí. Víc v man audit_user na konci.

-- 
Rudolf Cejka <cejkar at fit.vut.cz> http://www.fit.vut.cz/~cejkar
Brno University of Technology, Faculty of Information Technology
Bozetechova 2, 612 66  Brno, Czech Republic