Wenn Bob beispielsweise versucht, auf etwas zuzugreifen /home/Code/TopSecret. Das System würde ihm den Zugriff ohne die entsprechende Berechtigung nicht erlauben. Ich würde gerne über diese Versuche informiert werden.
Gibt es eine Möglichkeit, diese Versuche zu überwachen und anzuzeigen, indem ich sie ändere auditctl? Oder, wenn sie bereits überwacht werden, wo kann ich diese Versuche anzeigen?
Vielen Dank im Voraus.
Antwort1
Sie könnten versuchen, ~/.bash_historyfür jeden Benutzer eine Analyse durchzuführen:grep -e "$pattern" /home/*/.bash_history
So zeigen Sie ihre Sudo-Befehle an: tail /var/log/secure | grep usernameodertail /var/log/secure | grep "$pattern"
Wie Sie sich vorstellen können, können Sie den Zugang zu einem Pfad verfolgen mitPrüfungsctl. Habe es auf einem meiner Testsysteme ausprobiert und es funktioniert ziemlich gut und stammt direkt von der Manpage:
auditctl -w "$path" -a exit,always -S open -F success=0
Auch hier sollten Sie das audit.log analysieren mitgrep "$pathoffileorfolder" /var/log/audit/audit.log
Das ist ungefähr das, was ich verwenden würde, ohne etwas zu installieren, was nicht mit der Distribution mitgeliefert wird.