Dan Lukes wrote (2020/05/26): > Doufal jsem, ze > existuje neco hotovyho nebo prinejmensim snadneji upravitelnyho. Treba v > ramci auditingu, o kterym moc nevim co umi.
Audit je spíš o uživatelích než o souborech. Pokud máš množinu potenciálních uživatelů, pak by třeba trošku pomoct mohl. Do /etc/rc.conf přidej auditd_enable="YES". Do /etc/security/audit_user přidej pro každého potenciálního uživatele user:ex,fw:no. Seznam sledovatelných tříd je v /etc/security/audit_class a dají se dodefinovat vlastní. "fw" je sledování zápisů, "ex" pro dohledání, který proces zápis provedl. Spusť audit /etc/rc.d/auditd start. Výpis všech záznamů např. praudit [-lx] /var/audit/current. Pokud tě zajímá jen konkrétní soubor, můžeš výpis záznamů omezit na vybraný soubor přes auditreduce. Po ukončení auditu /etc/rc.d/auditd stop zůstává log ve /var/audit, např.: # auditreduce -o file=/root/x /var/audit/20200526110902.20200526111500 | praudit -lx <?xml version='1.0' ?> <audit> <record version="11" event="openat(2) - write,creat,trunc" modifier="0" time="Tue May 26 13:14:38 2020" msec=" + 177 msec" ><argument arg-num="3" value="0x1b6" desc="mode" /><argument arg-num="2" value="0x601" desc="flags" /><path>/root/x</path><subject audit-uid="root" uid="root" gid="wheel" ruid="root" rgid="wheel" pid="4309" sid="4293" tid="..." /><return errval="success" retval="10" /></record> Ale obsah vidět není. Jo a ještě je to hlavně pro uživatele, kteří se normálně přihlašují. Na systémové dénony je to otázka. Záleží kdy a jak se spouštějí. Víc v man audit_user na konci. -- Rudolf Cejka <cejkar at fit.vut.cz> http://www.fit.vut.cz/~cejkar Brno University of Technology, Faculty of Information Technology Bozetechova 2, 612 66 Brno, Czech Republic -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
