Если Боб попытается получить доступ к чему-то, /home/Code/TopSecretнапример. Система не позволит ему получить доступ к этому без разрешения. Я хотел бы знать об этих попытках.
Есть ли способ отслеживать и просматривать эти попытки, либо изменив auditctl? Или, если он уже отслеживается, где я могу просмотреть эти попытки?
Заранее спасибо.
решение1
Вы можете попробовать выполнить анализ ~/.bash_historyдля каждого пользователя:grep -e "$pattern" /home/*/.bash_history
Чтобы просмотреть их команды sudo: tail /var/log/secure | grep usernameилиtail /var/log/secure | grep "$pattern"
Как вы поняли, вы можете отслеживать доступ к пути с помощьюаудитctl. Опробовано на одной из моих тестовых систем, и это работает довольно хорошо, и это прямо со страницы руководства:
auditctl -w "$path" -a exit,always -S open -F success=0
Опять же, вам следует проанализировать журнал аудита с помощьюgrep "$pathoffileorfolder" /var/log/audit/audit.log
Это примерно то, что я бы использовал, не устанавливая ничего, что не входит в дистрибутив.