Opravneni na fs a historie zmen

Jan Kovar honza na tnx.cz
Středa Březen 3 20:23:44 CET 2010


Aha,

asi jsme se spatne vyjadril. Ja to sledovat nechci. Spis mi slo o to,
jestli po standardni instalaci centosu a bez dodatecne konfigurace bezi
neco, co by takove zmeny sledovalo a zmeny ukladalo. Nepotrebuju to, ba
prave naopak. Chci mit jistotu, ze nic takoveho nebezi. :-)

Honza

On Wed, 3 Mar 2010 17:02:52 +0100 (MET), Pavel Kankovsky
<peak na argo.troja.mff.cuni.cz> wrote:
> On Wed, 3 Mar 2010, Jan Kovar wrote:
> 
>> Jsem nejak schopny zjistit, jake bylo na tech souborech opravneni pred
>> hodinou? Pred tydnem? Pred rokem? To vse za predpokladu, ze mam bezny
>> system a neinstaloval jsem zadny specialni auditovaci nastroj, ktery by
> mi
>> toto sledoval a zmeny nekam ukladal.
> 
> Nejméně jeden "speciální" auditovací nástroj je součástí
> distribuce.
> Jmenuje se auditd. Např. je možno nastavit, aby sledoval syscall chmod
> (démon auditd musí běžet, pro regulérní použití by samozřejmě
> bylo vhodné
> to pravidlo nenastavovat ručně, ale dát ho do auditd.rules):
> 
> # /sbin/auditctl -a exit,always -S chmod
> 
> a při provedení chmod se v audit.log objeví následující záznamy:
> 
> type=SYSCALL msg=audit(1267631527.618:50): arch=40000003 syscall=15
> success=yes exit=0 a0=91f88b0 a1=1a4 a2=8051614 a3=0 items=1 ppid=4319
> pid=16181 auid=4294967295 uid=500 gid=500 euid=500 suid=500 fsuid=500
> egid=500 sgid=500 fsgid=500 tty=pts23 ses=4294967295 comm="chmod"
> exe="/bin/chmod" subj=user_u:system_r:unconfined_t:s0 key=(null)
> type=CWD msg=audit(1267631527.618:50):  cwd="/tmp"
> type=PATH msg=audit(1267631527.618:50): item=0 name="/tmp/abcd"
> inode=737288 dev=fd:00 mode=0100644 ouid=500 ogid=500 rdev=00:00
> obj=user_u:object_r:tmp_t:s0
> 
> kde "mode" obsahuje původní přístupová práva. (Nejsem si teď
> úplně jistý,
> jak to použít na ACL, ale také to asi nějak půjde.)
> 
> Viz auditd(8), auditctl(8) a příklady v /usr/share/doc/audit-*
> 
>




Další informace o konferenci Linux