Ich habe versucht, das herauszufinden, aber es scheint leichter gesagt als getan zu sein. Ich richte gerade einen Server ein, der Fehler, fehlgeschlagene Anmeldungen, wer wann auf was zugegriffen hat usw. sendet.
Ich versuche herauszufinden, wie ich einen Benutzer verfolgen kann, wenn er versucht, eine Berechtigungsänderung vorzunehmen. Angenommen, Bob führt „chmod 777“ aus, hat aber nicht die Berechtigung, die besagte Datei zu ändern. Anstatt ihm also zu sagen, dass er das nicht tun kann, gibt das System auch einen Fehler zurück, bei dem ich sehen kann, dass ein Versuch unternommen wurde. Wie kann ich diesen Fehler protokollieren lassen (falls dies nicht bereits der Fall ist) und wo würde dieser Speicherort gespeichert werden? /var/log/messages? ODER müsste ich eine Auditctl-Regel einrichten, damit dies auch so funktioniert, wie ich es möchte? Vielen Dank im Voraus an alle
Antwort1
Aus man auditctl:
To watch a file for changes (2 ways to express):
auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
- -w: Fügt eine Überwachung für das Dateisystemobjekt am Pfad ein, z. B. /etc/shadow.
- -p: Berechtigungsfilter für eine Dateisystemüberwachung festlegen. w=schreiben, x=ausführen, a=Attributänderung.
Sie können auch -k hinzufügen, um die Suche in Prüfprotokollen nach diesen Ereignissen zu erleichtern ausearch.
- -k: Setzt einen Filterschlüssel für eine Audit-Regel. Der Filterschlüssel ist eine beliebige Textzeichenfolge, die bis zu 31 Byte lang sein kann. Er kann die von einer Regel erzeugten Audit-Datensätze eindeutig identifizieren.
/etc/audit/audit.rulesDamit die Regel dauerhaft wirksam ist, auditdmuss sie zunächst eingegeben und außerdem aktiviert und gestartet werden ( systemctl enable auditd.serviceund systemctl start auditd.service).
Weitere Informationen finden Sie in diesemArtikel zur Red Hat-Lösung. Sie verwenden CentOS, daher gelten die hier aufgeführten Details weiterhin direkt für Sie.