Opravneni na fs a historie zmen

[Pavel Kankovsky]

On Wed, 3 Mar 2010, Jan Kovar wrote:

> Jsem nejak schopny zjistit, jake bylo na tech souborech opravneni pred
> hodinou? Pred tydnem? Pred rokem? To vse za predpokladu, ze mam bezny
> system a neinstaloval jsem zadny specialni auditovaci nastroj, ktery by mi
> toto sledoval a zmeny nekam ukladal.

Nejméně jeden "speciální" auditovací nástroj je součástí distribuce.
Jmenuje se auditd. Např. je možno nastavit, aby sledoval syscall chmod
(démon auditd musí běžet, pro regulérní použití by samozřejmě bylo vhodné
to pravidlo nenastavovat ručně, ale dát ho do auditd.rules):

# /sbin/auditctl -a exit,always -S chmod

a při provedení chmod se v audit.log objeví následující záznamy:

type=SYSCALL msg=audit(1267631527.618:50): arch=40000003 syscall=15 success=yes exit=0 a0=91f88b0 a1=1a4 a2=8051614 a3=0 items=1 ppid=4319 pid=16181 auid=4294967295 uid=500 gid=500 euid=500 suid=500 fsuid=500 egid=500 sgid=500 fsgid=500 tty=pts23 ses=4294967295 comm="chmod" exe="/bin/chmod" subj=user_u:system_r:unconfined_t:s0 key=(null)
type=CWD msg=audit(1267631527.618:50):  cwd="/tmp"
type=PATH msg=audit(1267631527.618:50): item=0 name="/tmp/abcd" inode=737288 dev=fd:00 mode=0100644 ouid=500 ogid=500 rdev=00:00 obj=user_u:object_r:tmp_t:s0

kde "mode" obsahuje původní přístupová práva. (Nejsem si teď úplně jistý,
jak to použít na ACL, ale také to asi nějak půjde.)

Viz auditd(8), auditctl(8) a příklady v /usr/share/doc/audit-*

-- 
Pavel Kankovsky aka Peak                          / Jeremiah 9:21        \
"For death is come up into our MS Windows(tm)..." \ 21st century edition /