Si Bob intenta acceder a algo como /home/Code/TopSecretpor ejemplo. El sistema no le permitiría acceder a esto sin tener el permiso. Me gustaría saber sobre estos intentos.
¿Hay alguna manera de monitorear y ver estos intentos mediante alguna modificación auditctl? O, si ya está siendo monitoreado, ¿dónde puedo ver estos intentos?
Gracias de antemano.
Respuesta1
Podrías intentar analizar ~/.bash_historypara cada usuario:grep -e "$pattern" /home/*/.bash_history
Para ver sus comandos sudo: tail /var/log/secure | grep usernameotail /var/log/secure | grep "$pattern"
Como habrás imaginado, puedes rastrear el acceso a un camino conauditoríactl. Probé uno de mis sistemas de prueba y funciona bastante bien y está directamente desde la página de manual:
auditctl -w "$path" -a exit,always -S open -F success=0
Nuevamente deberías analizar audit.log congrep "$pathoffileorfolder" /var/log/audit/audit.log
Eso es lo que usaría sin instalar nada que no venga con la distribución.