Если Боб пытается получить доступ, например, к /home/Code/TopSecret
. Система не позволит ему получить доступ к этому, не имея разрешения. Я хотел бы узнать об этих попытках.
Есть ли способ отслеживать и просматривать эти попытки путем изменения auditctl
? Или, если это уже отслеживается, где я могу просмотреть эти попытки?
Заранее спасибо.
Вы можете попытаться разобрать ~ / .bash_history
для каждого пользователя: grep -e "$ pattern" /home/*/.bash_history
Чтобы просмотреть их команды sudo: tail / var / log / secure | grep username
или tail / var / log / secure | grep "$ pattern"
Как вы догадались, вы можете отслеживать доступ к пути с помощью auditctl . Пробовал на одной из моих тестовых систем, и это работает очень хорошо, прямо со страницы руководства:
auditctl -w "$path" -a exit,always -S open -F success=0
Снова вам следует проанализировать audit.log с помощью grep "$ pathoffileorfolder" /var/log/audit/audit.log
Это о том, что я бы использовал, не устанавливая ничего, что не входит в состав дистрибутива.