Se Bob tentar acessar algo como, /home/Code/TopSecretpor exemplo. O sistema não permitiria que ele acessasse isso sem ter permissão. Gostaria de saber sobre essas tentativas.
Existe uma maneira de monitorar e visualizar essas tentativas modificando auditctl? Ou, se já estiver sendo monitorado, onde eu visualizaria essas tentativas?
Agradeço antecipadamente.
Responder1
Você poderia tentar analisar ~/.bash_historypara cada usuário:grep -e "$pattern" /home/*/.bash_history
Para visualizar seus comandos sudo: tail /var/log/secure | grep usernameoutail /var/log/secure | grep "$pattern"
Como você imaginou, você pode rastrear o acesso a um caminho comauditctl. Tentei em um dos meus sistemas de teste e funcionou muito bem e está diretamente na página de manual:
auditctl -w "$path" -a exit,always -S open -F success=0
Novamente você deve analisar o audit.log comgrep "$pathoffileorfolder" /var/log/audit/audit.log
Isso é o que eu usaria sem instalar nada que não venha com a distro.