Есть ли журнал Linux, когда пользователю отказано в доступе к файлам из-за разрешений

Question

Есть ли журнал Linux, когда пользователю отказано в доступе к файлам из-за разрешений

Есть ли файл журнала, который отслеживает действия пользователей, которым отказывают из-за обычных прав доступа к файлам Unix. Я знаю, что selinux что-то делает, но в большинстве случаев хорошие права доступа к файлам сначала останавливают их. Когда это происходит, есть ли журнал, на который печатается.

Спасибо

11

linux

Источник

31 июл '09 в 15:49

7 ответов

Другие вопросы по тегам linux

Marcin 31 июл '09 в 17:02 2009-07-31 17:02 · Answer 1 · 2009-07-31 17:02

Как настроить и использовать auditd в Linux:

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

10

Источник

Marcin 31 июл '09 в 17:02

Kristof Provost 31 июл '09 в 16:17 2009-07-31 16:17 · Answer 2 · 2009-07-31 16:17

Нет, это не зарегистрировано.

5

Источник

Kristof Provost 31 июл '09 в 16:17

SirStan 01 авг '09 в 02:48 2009-08-01 02:48 · Answer 3 · 2009-08-01 02:48

Auditctl позволяет регистрировать доступ к файлам, в том числе доступ запрещен.

Из справочной страницы:

To see unsuccessful open call's:

auditctl -a exit,always -S open -F success!=0

2

Источник

SirStan 01 авг '09 в 02:48

theillien 05 авг '15 в 21:41 2015-08-05 21:41 · Answer 4 · 2015-08-05 21:41

Я пытался решить эту проблему сам недавно. Я нашел ответ в справочной странице audit.rules:

Примеры
Следующее правило показывает, как проводить аудит неудачного доступа к файлам из-за проблем с разрешениями. Обратите внимание, что для каждого аудита ABI-архива требуются два правила, поскольку доступ к файлу может завершиться с двумя разными кодами ошибок, указывающими на проблемы с разрешениями.
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access

Мой откровенный ответ на мой собственный вопрос.

jedberg 01 авг '09 в 01:00 2009-08-01 01:00 · Answer 5 · 2009-08-01 01:00

Вы можете проверить AppArmor (загрузить информацию в конце).

По умолчанию большинство дистрибутивов не регистрируют это.

1

Источник

jedberg 01 авг '09 в 01:00

Bart Silverstrim 01 авг '09 в 02:33 2009-08-01 02:33 · Answer 6 · 2009-08-01 02:33

Нет, в стандартных конфигурациях нет ничего, что бы прямо указывало на то, что "пользователю bibby было отказано в доступе к /root"

Возможно, вам удастся найти программное обеспечение для аудита, которое может иметь расширенный аудит, или, может быть, программное обеспечение (например, SeLinux), которое использует более сложный доступ ACL к файлам и может регистрировать события, но даже Windows не регистрирует такие ошибки разрешения (существуют утилиты с Sysinternals которые показывают, что на лету ошибки доступа запрещены для Windows, хотя).

Я не думаю, что я когда-либо сталкивался с какими-либо утилитами, похожими на эти функции в системах Unix

Вы можете попытаться найти "случайные" вещи в журналах, например, почтовые программы или программы веб-сервера, которые регистрируют ошибки, пытаясь получить доступ к определенным путям к файлам, которые, как вы знаете, должны быть у администратора.

Если вы заинтересованы в безопасности своей системы, чтобы пользователи не могли действовать противно, вы можете попробовать некоторые из перечисленных здесь утилит и посмотреть, помогут ли они вам.

alexus 31 июл '09 в 16:20 2009-07-31 16:20 · Answer 7 · 2009-07-31 16:20

Если пользователь не может войти в систему из-за разрешений, пользователь получит "разрешение запрещено" на своем экране и будет в / ничего не входит в журнал, но его видно пользователю

-3

Источник

alexus 31 июл '09 в 16:20