* [Sysadmins] Аудит действий пользователей.
@ 2007-02-13 11:19 Alexey Shabalin
2007-02-13 11:38 ` Pavlov Konstantin
` (2 more replies)
0 siblings, 3 replies; 9+ messages in thread
From: Alexey Shabalin @ 2007-02-13 11:19 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
День добрый.
Есть такой вопрос.
В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb.
На sambe также настроен аудит. В общем в логах ftp и samba - ничего не
найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон -
проверил), который чистит папку или действия пользователей - сервер
многопользовательский . Есть ли какие нибудь средства аудита файловой
системы, что бы узнать какой процесс/пользователь удаляет файл?
(типа аналога аудита в офтопике NTFS, или аудита в самбе)
--
Alexey Shabalin
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Аудит действий пользователей.
2007-02-13 11:19 [Sysadmins] Аудит действий пользователей Alexey Shabalin
@ 2007-02-13 11:38 ` Pavlov Konstantin
2007-02-13 11:39 ` Avramenko Andrew
2007-02-13 13:29 ` Anton Kvashin
2 siblings, 0 replies; 9+ messages in thread
From: Pavlov Konstantin @ 2007-02-13 11:38 UTC (permalink / raw)
To: shaba, ALT Linux sysadmin discuss
13.02.07, Alexey Shabalin<a.shabalin.gmail.com> написал(а):
> День добрый.
> Есть такой вопрос.
> В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb.
> На sambe также настроен аудит. В общем в логах ftp и samba - ничего не
> найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон -
> проверил), который чистит папку или действия пользователей - сервер
> многопользовательский . Есть ли какие нибудь средства аудита файловой
> системы, что бы узнать какой процесс/пользователь удаляет файл?
> (типа аналога аудита в офтопике NTFS, или аудита в самбе)
inotify ?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Аудит действий пользователей.
2007-02-13 11:19 [Sysadmins] Аудит действий пользователей Alexey Shabalin
2007-02-13 11:38 ` Pavlov Konstantin
@ 2007-02-13 11:39 ` Avramenko Andrew
2007-02-13 18:26 ` Andrey Rahmatullin
2007-02-13 13:29 ` Anton Kvashin
2 siblings, 1 reply; 9+ messages in thread
From: Avramenko Andrew @ 2007-02-13 11:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexey Shabalin пишет:
> День добрый.
> Есть такой вопрос.
> В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb.
> На sambe также настроен аудит. В общем в логах ftp и samba - ничего не
> найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон -
> проверил), который чистит папку или действия пользователей - сервер
> многопользовательский . Есть ли какие нибудь средства аудита файловой
> системы, что бы узнать какой процесс/пользователь удаляет файл?
> (типа аналога аудита в офтопике NTFS, или аудита в самбе)
У нас в Red Hat есть демон audit. Он системные вызовы умеет
перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
патченное.
[root@localhost audit]# rpm -qi audit
Name : audit Relocations: (not relocatable)
Version : 1.2.9 Vendor: Red Hat, Inc.
Release : 1.el5 Build Date: Втр 24 Окт 2006
21:24:37
Install Date: Пнд 08 Янв 2007 13:22:28 Build Host:
hs20-bc1-6.build.redhat.com
Group : System Environment/Daemons Source RPM:
audit-1.2.9-1.el5.src.rpm
Size : 515047 License: GPL
Signature : DSA/SHA1, Чтв 26 Окт 2006 01:38:40, Key ID fd372689897da07a
Packager : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla>
URL : http://people.redhat.com/sgrubb/audit/
Summary : User space tools for 2.6 kernel auditing
Description :
The audit package contains the user space utilities for
storing and searching the audit records generate by
the audit subsystem in the Linux 2.6 kernel.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Аудит действий пользователей.
2007-02-13 11:19 [Sysadmins] Аудит действий пользователей Alexey Shabalin
2007-02-13 11:38 ` Pavlov Konstantin
2007-02-13 11:39 ` Avramenko Andrew
@ 2007-02-13 13:29 ` Anton Kvashin
2 siblings, 0 replies; 9+ messages in thread
From: Anton Kvashin @ 2007-02-13 13:29 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexey Shabalin wrote:
> День добрый.
> Есть такой вопрос.
> В папке периодически пропадают файлики... - сервер
> многопользовательский . Есть ли какие нибудь средства аудита файловой
> системы, что бы узнать какой процесс/пользователь удаляет файл?
> (типа аналога аудита в офтопике NTFS, или аудита в самбе)
psacct
Example here:
http://www.cyberciti.biz/tips/howto-log-user-activity-using-process-accounting.html
--
Anton Kvashin
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Аудит действий пользователей.
2007-02-13 11:39 ` Avramenko Andrew
@ 2007-02-13 18:26 ` Andrey Rahmatullin
2007-02-15 7:13 ` Avramenko Andrew
0 siblings, 1 reply; 9+ messages in thread
From: Andrey Rahmatullin @ 2007-02-13 18:26 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 526 bytes --]
On Tue, Feb 13, 2007 at 02:39:48PM +0300, Avramenko Andrew wrote:
> перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
> патченное.
Патченое ли?
> the audit subsystem in the Linux 2.6 kernel.
Она ж там по дефолту.
--
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):
> я слышал от тех же дебианщиков, что альт - это урезанный debian. типа
> всё испортили, даже dpkg убрали :))
Как это убрали?
apt-cache show dpkg показывает что на месте. ;-)
-- icesik in smoke-room@
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Аудит действий пользователей.
2007-02-13 18:26 ` Andrey Rahmatullin
@ 2007-02-15 7:13 ` Avramenko Andrew
2007-02-15 8:20 ` Evgenii Terechkov
0 siblings, 1 reply; 9+ messages in thread
From: Avramenko Andrew @ 2007-02-15 7:13 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Andrey Rahmatullin пишет:
> On Tue, Feb 13, 2007 at 02:39:48PM +0300, Avramenko Andrew wrote:
>> перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
>> патченное.
> Патченое ли?
>
>> the audit subsystem in the Linux 2.6 kernel.
> Она ж там по дефолту.
А.. Ну это смотря как собрать. Совсем не знаком как в АЛЬТе собирают
ядро. Ну значит даже патчить ничего не надо - еще лучше. Если пакетик
нужен, могу дать ссылку.
Кстати, если у нас нету аналога в сизифе, может собрать?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Аудит действий пользователей.
2007-02-15 7:13 ` Avramenko Andrew
@ 2007-02-15 8:20 ` Evgenii Terechkov
2007-02-15 8:37 ` Avramenko Andrew
0 siblings, 1 reply; 9+ messages in thread
From: Evgenii Terechkov @ 2007-02-15 8:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Avramenko Andrew пишет:
>>> перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
>>> патченное.
>> Патченое ли?
>>
>>> the audit subsystem in the Linux 2.6 kernel.
>> Она ж там по дефолту.
>
> А.. Ну это смотря как собрать. Совсем не знаком как в АЛЬТе собирают
> ядро. Ну значит даже патчить ничего не надо - еще лучше. Если пакетик
> нужен, могу дать ссылку.
>
> Кстати, если у нас нету аналога в сизифе, может собрать?
А пакет acct разве не оно?
--
Терешков Евгений, ALT Linux Team.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Аудит действий пользователей.
2007-02-15 8:20 ` Evgenii Terechkov
@ 2007-02-15 8:37 ` Avramenko Andrew
2007-02-15 8:54 ` Evgenii Terechkov
0 siblings, 1 reply; 9+ messages in thread
From: Avramenko Andrew @ 2007-02-15 8:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Evgenii Terechkov пишет:
> Avramenko Andrew пишет:
>
>>>> перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть
>>>> патченное.
>>> Патченое ли?
>>>
>>>> the audit subsystem in the Linux 2.6 kernel.
>>> Она ж там по дефолту.
>> А.. Ну это смотря как собрать. Совсем не знаком как в АЛЬТе собирают
>> ядро. Ну значит даже патчить ничего не надо - еще лучше. Если пакетик
>> нужен, могу дать ссылку.
>>
>> Кстати, если у нас нету аналога в сизифе, может собрать?
>
> А пакет acct разве не оно?
>
Да, похоже на то. Только audit умеет все системные вызовы писать (read,
write и т.д.). acct это умеет?
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] Аудит действий пользователей.
2007-02-15 8:37 ` Avramenko Andrew
@ 2007-02-15 8:54 ` Evgenii Terechkov
0 siblings, 0 replies; 9+ messages in thread
From: Evgenii Terechkov @ 2007-02-15 8:54 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Avramenko Andrew пишет:
> Да, похоже на то. Только audit умеет все системные вызовы писать (read,
> write и т.д.). acct это умеет?
Я дальше apt-cache show не смотрел.
--
Терешков Евгений, ALT Linux Team.
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2007-02-15 8:54 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-02-13 11:19 [Sysadmins] Аудит действий пользователей Alexey Shabalin
2007-02-13 11:38 ` Pavlov Konstantin
2007-02-13 11:39 ` Avramenko Andrew
2007-02-13 18:26 ` Andrey Rahmatullin
2007-02-15 7:13 ` Avramenko Andrew
2007-02-15 8:20 ` Evgenii Terechkov
2007-02-15 8:37 ` Avramenko Andrew
2007-02-15 8:54 ` Evgenii Terechkov
2007-02-13 13:29 ` Anton Kvashin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git