Centos 7 - Logging Falhou Permissão Mudanças Por Outro Usuário?

0

Eu tenho tentado descobrir isso e parece uma situação mais fácil de dizer do que de fazer. No momento, estou configurando um servidor que envia erros, logons com falha, quem acessou o que e quando, etc ....

Estou tentando descobrir como posso rastrear um usuário se ele tentar fazer uma alteração de permissão. Digamos que Bob execute o 'chmod 777', mas ele não tem permissão para alterar o arquivo. Então, ao invés do sistema dizer a ele não, ele não pode fazer isso, ele também lança um erro que eu posso ver que uma tentativa foi feita. Como posso obter esse erro para ser registrado (se já não estiver) e onde esse local seria armazenado? / var / log / messages? OU, eu teria que configurar uma regra de auditctl para que isso funcione como eu quero também? Obrigado a todos antecipadamente

    
por Atlas_ 01.11.2016 / 13:37

1 resposta

0

De man auditctl :

To watch a file for changes (2 ways to express):

auditctl -w /etc/shadow -p wa
auditctl -a always,exit -F path=/etc/shadow -F perm=wa
  • -w: insira um relógio para o objeto do sistema de arquivos no caminho, ou seja, / etc / shadow.
  • -p: defina o filtro de permissões para uma exibição do sistema de arquivos. w = write, x = execute, a = mudança de atributo.

Você também pode adicionar -k, que ajudará na pesquisa de logs de auditoria para esses eventos usando ausearch .

  • -k: defina uma chave de filtro em uma regra de auditoria. A chave de filtro é uma cadeia de texto arbitrária que pode ter até 31 bytes de comprimento. Ele pode identificar de forma exclusiva os registros de auditoria produzidos por uma regra.

A regra precisará ser colocada em /etc/audit/audit.rules para ser permanente. auditd precisará ser ativado e iniciado também ( systemctl enable auditd.service e systemctl start auditd.service ).

Você pode encontrar mais informações neste artigo da solução Red Hat . Você está rodando o CentOS, então os detalhes aqui ainda se aplicam diretamente a você.

    
por 01.11.2016 / 17:54