From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <45D1A384.2040802@mail.ru> Date: Tue, 13 Feb 2007 14:39:48 +0300 From: Avramenko Andrew User-Agent: Thunderbird 1.5.0.4 (X11/20060613) MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: In-Reply-To: Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-Scan-Signature: 14f6324fb9cf11646e8c9c484c289d4d Subject: Re: [Sysadmins] =?koi8-r?b?4dXEydQgxMXK09TXycog0M/M2NrP18HUxczFyi4=?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9rc1 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 13 Feb 2007 11:42:11 -0000 Archived-At: List-Archive: Alexey Shabalin пишет: > День добрый. > Есть такой вопрос. > В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb. > На sambe также настроен аудит. В общем в логах ftp и samba - ничего не > найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон - > проверил), который чистит папку или действия пользователей - сервер > многопользовательский . Есть ли какие нибудь средства аудита файловой > системы, что бы узнать какой процесс/пользователь удаляет файл? > (типа аналога аудита в офтопике NTFS, или аудита в самбе) У нас в Red Hat есть демон audit. Он системные вызовы умеет перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть патченное. [root@localhost audit]# rpm -qi audit Name : audit Relocations: (not relocatable) Version : 1.2.9 Vendor: Red Hat, Inc. Release : 1.el5 Build Date: Втр 24 Окт 2006 21:24:37 Install Date: Пнд 08 Янв 2007 13:22:28 Build Host: hs20-bc1-6.build.redhat.com Group : System Environment/Daemons Source RPM: audit-1.2.9-1.el5.src.rpm Size : 515047 License: GPL Signature : DSA/SHA1, Чтв 26 Окт 2006 01:38:40, Key ID fd372689897da07a Packager : Red Hat, Inc. URL : http://people.redhat.com/sgrubb/audit/ Summary : User space tools for 2.6 kernel auditing Description : The audit package contains the user space utilities for storing and searching the audit records generate by the audit subsystem in the Linux 2.6 kernel.