Opravneni na fs a historie zmen

Jan Kovar honza na tnx.cz
Středa Březen 10 10:44:49 CET 2010 

Ja to nechci zakryvat. :-D Jen tu mam nejaky ten mesic bezici Centos, na
kterem se nic specialniho nainstalovalo a mam odpovedet na pozadavek
reportu o zmenach opravneni na FS. A nechci, aby se mi stalo, ze reknu, ze
to nejde a pak prijde nekdo, kdo ukaze, ze to jde. :-D

To je vse.

Honza

On Wed, 10 Mar 2010 09:24:48 +0100, Oto Buchta <tapik na buchtovi.cz> wrote:
> Hmmm. Celkem by mne zajímalo nasazení, kdy je potřeba s čestnými
> úmysly zakrýt chmod :-)
> 
> 2010/3/3 Jan Kovar <honza na tnx.cz>:
>> Aha,
>>
>> asi jsme se spatne vyjadril. Ja to sledovat nechci. Spis mi slo o to,
>> jestli po standardni instalaci centosu a bez dodatecne konfigurace bezi
>> neco, co by takove zmeny sledovalo a zmeny ukladalo. Nepotrebuju to, ba
>> prave naopak. Chci mit jistotu, ze nic takoveho nebezi. :-)
>>
>> Honza
>>
>> On Wed, 3 Mar 2010 17:02:52 +0100 (MET), Pavel Kankovsky
>> <peak na argo.troja.mff.cuni.cz> wrote:
>>> On Wed, 3 Mar 2010, Jan Kovar wrote:
>>>
>>>> Jsem nejak schopny zjistit, jake bylo na tech souborech opravneni pred
>>>> hodinou? Pred tydnem? Pred rokem? To vse za predpokladu, ze mam bezny
>>>> system a neinstaloval jsem zadny specialni auditovaci nastroj, ktery
> by
>>> mi
>>>> toto sledoval a zmeny nekam ukladal.
>>>
>>> Nejméně jeden "speciální" auditovací nástroj je součástí
>>> distribuce.
>>> Jmenuje se auditd. Např. je možno nastavit, aby sledoval syscall
> chmod
>>> (démon auditd musí běžet, pro regulérní použití by samozřejmě
>>> bylo vhodné
>>> to pravidlo nenastavovat ručně, ale dát ho do auditd.rules):
>>>
>>> # /sbin/auditctl -a exit,always -S chmod
>>>
>>> a při provedení chmod se v audit.log objeví následující záznamy:
>>>
>>> type=SYSCALL msg=audit(1267631527.618:50): arch=40000003 syscall=15
>>> success=yes exit=0 a0=91f88b0 a1=1a4 a2=8051614 a3=0 items=1 ppid=4319
>>> pid=16181 auid=4294967295 uid=500 gid=500 euid=500 suid=500 fsuid=500
>>> egid=500 sgid=500 fsgid=500 tty=pts23 ses=4294967295 comm="chmod"
>>> exe="/bin/chmod" subj=user_u:system_r:unconfined_t:s0 key=(null)
>>> type=CWD msg=audit(1267631527.618:50):  cwd="/tmp"
>>> type=PATH msg=audit(1267631527.618:50): item=0 name="/tmp/abcd"
>>> inode=737288 dev=fd:00 mode=0100644 ouid=500 ogid=500 rdev=00:00
>>> obj=user_u:object_r:tmp_t:s0
>>>
>>> kde "mode" obsahuje původní přístupová práva. (Nejsem si teď
>>> úplně jistý,
>>> jak to použít na ACL, ale také to asi nějak půjde.)
>>>
>>> Viz auditd(8), auditctl(8) a příklady v /usr/share/doc/audit-*
>>>
>>>
>>
>> _______________________________________________
>> Linux mailing list
>> Linux na linux.cz
>> http://www.linux.cz/mailman/listinfo/linux
>>
> 
> 
> 
>

Další informace o konferenci Linux