Opravneni na fs a historie zmen

Oto Buchta tapik na buchtovi.cz
Středa Březen 10 13:18:37 CET 2010


Ale aspon mas ten vypis z rpm --verify

2010/3/10 Jan Kovar <honza na tnx.cz>:
> Ja to nechci zakryvat. :-D Jen tu mam nejaky ten mesic bezici Centos, na
> kterem se nic specialniho nainstalovalo a mam odpovedet na pozadavek
> reportu o zmenach opravneni na FS. A nechci, aby se mi stalo, ze reknu, ze
> to nejde a pak prijde nekdo, kdo ukaze, ze to jde. :-D
>
> To je vse.
>
> Honza
>
> On Wed, 10 Mar 2010 09:24:48 +0100, Oto Buchta <tapik na buchtovi.cz> wrote:
>> Hmmm. Celkem by mne zajímalo nasazení, kdy je potřeba s čestnými
>> úmysly zakrýt chmod :-)
>>
>> 2010/3/3 Jan Kovar <honza na tnx.cz>:
>>> Aha,
>>>
>>> asi jsme se spatne vyjadril. Ja to sledovat nechci. Spis mi slo o to,
>>> jestli po standardni instalaci centosu a bez dodatecne konfigurace bezi
>>> neco, co by takove zmeny sledovalo a zmeny ukladalo. Nepotrebuju to, ba
>>> prave naopak. Chci mit jistotu, ze nic takoveho nebezi. :-)
>>>
>>> Honza
>>>
>>> On Wed, 3 Mar 2010 17:02:52 +0100 (MET), Pavel Kankovsky
>>> <peak na argo.troja.mff.cuni.cz> wrote:
>>>> On Wed, 3 Mar 2010, Jan Kovar wrote:
>>>>
>>>>> Jsem nejak schopny zjistit, jake bylo na tech souborech opravneni pred
>>>>> hodinou? Pred tydnem? Pred rokem? To vse za predpokladu, ze mam bezny
>>>>> system a neinstaloval jsem zadny specialni auditovaci nastroj, ktery
>> by
>>>> mi
>>>>> toto sledoval a zmeny nekam ukladal.
>>>>
>>>> Nejméně jeden "speciální" auditovací nástroj je součástí
>>>> distribuce.
>>>> Jmenuje se auditd. Např. je možno nastavit, aby sledoval syscall
>> chmod
>>>> (démon auditd musí běžet, pro regulérní použití by samozřejmě
>>>> bylo vhodné
>>>> to pravidlo nenastavovat ručně, ale dát ho do auditd.rules):
>>>>
>>>> # /sbin/auditctl -a exit,always -S chmod
>>>>
>>>> a při provedení chmod se v audit.log objeví následující záznamy:
>>>>
>>>> type=SYSCALL msg=audit(1267631527.618:50): arch=40000003 syscall=15
>>>> success=yes exit=0 a0=91f88b0 a1=1a4 a2=8051614 a3=0 items=1 ppid=4319
>>>> pid=16181 auid=4294967295 uid=500 gid=500 euid=500 suid=500 fsuid=500
>>>> egid=500 sgid=500 fsgid=500 tty=pts23 ses=4294967295 comm="chmod"
>>>> exe="/bin/chmod" subj=user_u:system_r:unconfined_t:s0 key=(null)
>>>> type=CWD msg=audit(1267631527.618:50):  cwd="/tmp"
>>>> type=PATH msg=audit(1267631527.618:50): item=0 name="/tmp/abcd"
>>>> inode=737288 dev=fd:00 mode=0100644 ouid=500 ogid=500 rdev=00:00
>>>> obj=user_u:object_r:tmp_t:s0
>>>>
>>>> kde "mode" obsahuje původní přístupová práva. (Nejsem si teď
>>>> úplně jistý,
>>>> jak to použít na ACL, ale také to asi nějak půjde.)
>>>>
>>>> Viz auditd(8), auditctl(8) a příklady v /usr/share/doc/audit-*
>>>>
>>>>
>>>
>>> _______________________________________________
>>> Linux mailing list
>>> Linux na linux.cz
>>> http://www.linux.cz/mailman/listinfo/linux
>>>
>>
>>
>>
>>
>
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux
>



-- 
Oto 'tapik' Buchta, tapik na buchtovi.cz, http://tapikuv.blogspot.com



Další informace o konferenci Linux