Czy istnieje dziennik linux dla użytkownika, któremu odmówiono dostępu do plików z powodu uprawnień?

Czy istnieje plik dziennika, który śledzi rzeczy, które użytkownicy próbują robić, i których odmawia się z powodu regularnych uprawnień do plików unixowych. Wiem, że selinux robi rzeczy, ale często dobre uprawnienia do plików ole zatrzymują je jako pierwsze. Kiedy tak się dzieje, czy jest dziennik, który jest drukowany.

Dzięki

Jak skonfigurować i korzystać z audytu w systemie Linux:

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Nie, to nie jest zalogowane.

Auditctl umożliwia rejestrowanie dostępu do plików, w tym odmowy dostępu.

Z strony podręcznika :

To see unsuccessful open call's:

auditctl -a exit,always -S open -F success!=0

Możesz sprawdzić AppArmor (informacje do pobrania na końcu).

Domyślnie większość dystrybucji nie rejestruje tego.

Ostatnio sam próbowałem rozwiązać ten problem. Znalazłem odpowiedź na stronie manuala audit.rules:

Przykłady

Poniższa reguła pokazuje, jak kontrolować nieudany dostęp do plików z powodu problemów z uprawnieniami. Zauważ, że kontrolowanie tego wymaga dwóch reguł dla każdego arch ABI, ponieważ dostęp do pliku może się nie powieść z dwoma różnymi kodami błędów wskazującymi problemy z uprawnieniami.

-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access

Moja niezachwiana odpowiedź na moje własne pytanie.

Nie, w konfiguracjach magazynowych nie ma niczego, co bezpośrednio pokazuje „odmówiono użytkownikowi dostępu do katalogu / root”

Być może możesz znaleźć oprogramowanie do audytu, które może mieć rozszerzoną kontrolę lub może oprogramowanie (takie jak SeLinux), które wykorzystuje bardziej złożony dostęp ACL do plików i może rejestrować różne rzeczy, ale nawet Windows nie rejestruje takich błędów uprawnień (istnieją narzędzia z Sysinternals które pokazują, że w czasie rzeczywistym odmowa dostępu do systemu Windows jest błędem).

Nie sądzę, żebym nawet natknął się na żadne narzędzia podobne do tej w systemach Unix.

Możesz spróbować szukać „przypadkowych” rzeczy w dziennikach, takich jak programy poczty lub serwera WWW, które rejestrują błędy, próbując uzyskać dostęp do określonych ścieżek plików, które powinien znać administrator.

Jeśli jesteś zainteresowany bezpieczeństwem w swoim systemie, aby powstrzymać nieznośnych użytkowników przed działaniem nieznośnych, możesz wypróbować niektóre z wymienionych tutaj narzędzi i sprawdzić, czy ci pomogą.

jeśli użytkownik nie może się zalogować z powodu uprawnień, na ekranie pojawi się komunikat „odmowa dostępu” i będzie on w katalogu / nic nie zostanie zapisane w dzienniku, ale będzie to widoczne dla użytkownika