У меня есть несколько вопросов по поводу просмотра того, кто получил доступ к файлу.
Я обнаружил, что существуют способы узнать, был ли получен доступ к файлу (не был ли он изменен/модифицирован) через подсистему аудита и inotify.
Однако из того, что я прочитал в интернете, следует следующее: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
там написано файл «watch/monitor», мне нужно установить наблюдение с помощью команды типа:
# auditctl -w /etc/passwd -p war -k password-file
Итак, если я создам новый файл или каталог, нужно ли мне сначала использовать команду audit/inotify, чтобы «установить» наблюдение, чтобы «отслеживать», кто получил доступ к новому файлу?
Также есть ли способ узнать, 'наблюдается' ли каталог через подсистему аудита или inotify? Как/где я могу проверить журнал файла?
редактировать:
В результате дальнейшего поиска в Google я нашел эту страницу, на которой говорится: http://www.kernel.org/doc/man-pages/online/pages/man7/inotify.7.html
API inotify не предоставляет никакой информации о пользователе или процессе, вызвавшем событие inotify.
Так что я думаю, это означает, что я не могу выяснить, какой пользователь получил доступ к файлу? Только подсистема аудита может быть использована для выяснения того, кто получил доступ к файлу?
решение1
Журналы из подсистемы аудита основаны на путях. Вы можете установить наблюдение за именем файла, даже если этот файл не существует. Вы получите записи журнала, если файл создан и к нему получен доступ.
Все журналы auditdсохраняются в одном файле (как правило /var/log/audit/auditd.log).
Вы можете перечислить правила аудита с помощью auditctl -l.