From: Avramenko Andrew <liksx@mail.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] Аудит действий пользователей.
Date: Tue, 13 Feb 2007 14:39:48 +0300
Message-ID: <45D1A384.2040802@mail.ru> (raw)
In-Reply-To: <b966c1e40702130319q1b62a28aq589ccd745eda4eeb@mail.gmail.com>
Alexey Shabalin пишет:
> День добрый.
> Есть такой вопрос.
> В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb.
> На sambe также настроен аудит. В общем в логах ftp и samba - ничего не
> найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон -
> проверил), который чистит папку или действия пользователей - сервер
> многопользовательский . Есть ли какие нибудь средства аудита файловой
> системы, что бы узнать какой процесс/пользователь удаляет файл?
> (типа аналога аудита в офтопике NTFS, или аудита в самбе)
У нас в Red Hat есть демон audit. Он системные вызовы умеет
перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
патченное.
[root@localhost audit]# rpm -qi audit
Name : audit Relocations: (not relocatable)
Version : 1.2.9 Vendor: Red Hat, Inc.
Release : 1.el5 Build Date: Втр 24 Окт 2006
21:24:37
Install Date: Пнд 08 Янв 2007 13:22:28 Build Host:
hs20-bc1-6.build.redhat.com
Group : System Environment/Daemons Source RPM:
audit-1.2.9-1.el5.src.rpm
Size : 515047 License: GPL
Signature : DSA/SHA1, Чтв 26 Окт 2006 01:38:40, Key ID fd372689897da07a
Packager : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla>
URL : http://people.redhat.com/sgrubb/audit/
Summary : User space tools for 2.6 kernel auditing
Description :
The audit package contains the user space utilities for
storing and searching the audit records generate by
the audit subsystem in the Linux 2.6 kernel.
next prev parent reply other threads:[~2007-02-13 11:39 UTC|newest]
Thread overview: 9+ messages / expand[flat|nested] mbox.gz Atom feed top
2007-02-13 11:19 Alexey Shabalin
2007-02-13 11:38 ` Pavlov Konstantin
2007-02-13 11:39 ` Avramenko Andrew [this message]
2007-02-13 18:26 ` Andrey Rahmatullin
2007-02-15 7:13 ` Avramenko Andrew
2007-02-15 8:20 ` Evgenii Terechkov
2007-02-15 8:37 ` Avramenko Andrew
2007-02-15 8:54 ` Evgenii Terechkov
2007-02-13 13:29 ` Anton Kvashin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=45D1A384.2040802@mail.ru \
--to=liksx@mail.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git