Ahoj.
Tady nemas tak uplne pravdu, daji se sledovat i primo soubory a dane
akce nad nima.
> Audit je spíš o uživatelích než o souborech. Pokud máš množinu
potenciálních uživatelů, pak by třeba trošku pomoct mohl.
Do /etc/rc.conf přidej auditd_enable="YES".
Do /etc/security/audit_user přidej pro každého potenciálního
uživatele user:ex,fw:no. Seznam sledovatelných tříd je
v /etc/security/audit_class a dají se dodefinovat vlastní.
"fw" je sledování zápisů, "ex" pro dohledání, který proces
zápis provedl.
Na systemovy demony se to da aplikovat taktez, je to jenom otazka
nastaveni audit confu. Zkusim vyhrabat auditni konfiguraci co pouzivame
pro zasilani full auditu do siemu. Ta by mela pomoct.
Ale obsah vidět není. Jo a ještě je to hlavně pro uživatele, kteří se
normálně přihlašují. Na systémové dénony je to otázka. Záleží kdy a jak
se spouštějí. Víc v man audit_user na konci.
Vilem
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
