たとえば、ボブが何かにアクセスしようとした場合/home/Code/TopSecret、システムは許可なしでこれにアクセスすることを許可しません。これらの試みについて知りたいです。
を変更することで、これらの試行を監視して表示する方法はありますかauditctl? または、すでに監視されている場合、これらの試行はどこで確認できますか?
よろしくお願いします。
答え1
~/.bash_historyすべてのユーザーに対して解析を試みることができます:grep -e "$pattern" /home/*/.bash_history
sudoコマンドを表示するには:tail /var/log/secure | grep usernameまたはtail /var/log/secure | grep "$pattern"
ご想像のとおり、パスへのアクセスを追跡するには監査ctl私のテスト システムの 1 つで試してみましたが、これはかなりうまく機能し、man ページから直接引用したものです。
auditctl -w "$path" -a exit,always -S open -F success=0
もう一度、audit.logを解析する必要があります。grep "$pathoffileorfolder" /var/log/audit/audit.log
ディストリビューションに付属していないものを何もインストールせずに使用する場合、これくらいのものを使用します。