Ich habe einige Fragen zur Anzeige, wer auf eine Datei zugegriffen hat.
Ich habe festgestellt, dass es Möglichkeiten gibt, über das Audit-Subsystem und inotify festzustellen, ob auf eine Datei zugegriffen wurde (nicht ob sie modifiziert/verändert wurde).
Nach dem, was ich online gelesen habe, heißt es jedoch hier: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
dort steht, dass ich die Datei „beobachten/überwachen“ muss. Ich muss sie mit einem Befehl wie diesem überwachen:
# auditctl -w /etc/passwd -p war -k password-file
Wenn ich also eine neue Datei oder ein neues Verzeichnis erstelle, muss ich dann zuerst den Befehl „Audit/Inotify“ verwenden, um zu „überwachen“, wer auf die neue Datei zugegriffen hat?
Gibt es außerdem eine Möglichkeit herauszufinden, ob ein Verzeichnis über das Audit-Subsystem oder Inotify „überwacht“ wird? Wie/wo kann ich das Protokoll einer Datei überprüfen?
bearbeiten:
beim weiteren Googeln fand ich diese Seite mit folgendem Inhalt: http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html
Die inotify-API bietet keine Informationen über den Benutzer oder Prozess, der das inotify-Ereignis ausgelöst hat.
Das bedeutet also, dass ich nicht herausfinden kann, welcher Benutzer auf eine Datei zugegriffen hat? Kann nur das Audit-Subsystem verwendet werden, um herauszufinden, wer auf eine Datei zugegriffen hat?
Antwort1
Protokolle des Überwachungssubsystems basieren auf Pfaden. Sie können einen Dateinamen überwachen, auch wenn die Datei nicht existiert. Sie erhalten Protokolleinträge, wenn die Datei erstellt und aufgerufen wird.
Alle Protokolle von auditdwerden in einer Datei gespeichert (im Allgemeinen /var/log/audit/auditd.log).
Mit können Sie sich die Prüfregeln auflisten lassen auditctl -l.