Opravneni na fs a historie zmen
Oto Buchta
tapik na buchtovi.cz
Středa Březen 10 09:24:48 CET 2010
Hmmm. Celkem by mne zajímalo nasazení, kdy je potřeba s čestnými
úmysly zakrýt chmod :-)
2010/3/3 Jan Kovar <honza na tnx.cz>:
> Aha,
>
> asi jsme se spatne vyjadril. Ja to sledovat nechci. Spis mi slo o to,
> jestli po standardni instalaci centosu a bez dodatecne konfigurace bezi
> neco, co by takove zmeny sledovalo a zmeny ukladalo. Nepotrebuju to, ba
> prave naopak. Chci mit jistotu, ze nic takoveho nebezi. :-)
>
> Honza
>
> On Wed, 3 Mar 2010 17:02:52 +0100 (MET), Pavel Kankovsky
> <peak na argo.troja.mff.cuni.cz> wrote:
>> On Wed, 3 Mar 2010, Jan Kovar wrote:
>>
>>> Jsem nejak schopny zjistit, jake bylo na tech souborech opravneni pred
>>> hodinou? Pred tydnem? Pred rokem? To vse za predpokladu, ze mam bezny
>>> system a neinstaloval jsem zadny specialni auditovaci nastroj, ktery by
>> mi
>>> toto sledoval a zmeny nekam ukladal.
>>
>> Nejméně jeden "speciální" auditovací nástroj je součástí
>> distribuce.
>> Jmenuje se auditd. Např. je možno nastavit, aby sledoval syscall chmod
>> (démon auditd musí běžet, pro regulérní použití by samozřejmě
>> bylo vhodné
>> to pravidlo nenastavovat ručně, ale dát ho do auditd.rules):
>>
>> # /sbin/auditctl -a exit,always -S chmod
>>
>> a při provedení chmod se v audit.log objeví následující záznamy:
>>
>> type=SYSCALL msg=audit(1267631527.618:50): arch=40000003 syscall=15
>> success=yes exit=0 a0=91f88b0 a1=1a4 a2=8051614 a3=0 items=1 ppid=4319
>> pid=16181 auid=4294967295 uid=500 gid=500 euid=500 suid=500 fsuid=500
>> egid=500 sgid=500 fsgid=500 tty=pts23 ses=4294967295 comm="chmod"
>> exe="/bin/chmod" subj=user_u:system_r:unconfined_t:s0 key=(null)
>> type=CWD msg=audit(1267631527.618:50): cwd="/tmp"
>> type=PATH msg=audit(1267631527.618:50): item=0 name="/tmp/abcd"
>> inode=737288 dev=fd:00 mode=0100644 ouid=500 ogid=500 rdev=00:00
>> obj=user_u:object_r:tmp_t:s0
>>
>> kde "mode" obsahuje původní přístupová práva. (Nejsem si teď
>> úplně jistý,
>> jak to použít na ACL, ale také to asi nějak půjde.)
>>
>> Viz auditd(8), auditctl(8) a příklady v /usr/share/doc/audit-*
>>
>>
>
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
>
--
Oto 'tapik' Buchta, tapik na buchtovi.cz, http://tapikuv.blogspot.com
Další informace o konferenci Linux