Centos 7 --> Отслеживание, если пользователи пытаются получить доступ к папке/каталогу, к которому у них нет доступа?
Если Боб пытается получить доступ, например, к /home/Code/TopSecret. Система не позволит ему получить доступ к этому, не имея разрешения. Я хотел бы узнать об этих попытках.
Есть ли способ отслеживать и просматривать эти попытки путем изменения auditctl? Или, если это уже отслеживается, где я могу просмотреть эти попытки?
Заранее спасибо.
Вы можете попытаться разобрать ~ / .bash_history для каждого пользователя: grep -e "$ pattern" /home/*/.bash_history
Чтобы просмотреть их команды sudo: tail / var / log / secure | grep username или tail / var / log / secure | grep "$ pattern"
Как вы догадались, вы можете отслеживать доступ к пути с помощью auditctl . Пробовал на одной из моих тестовых систем, и это работает очень хорошо, прямо со страницы руководства:
auditctl -w "$path" -a exit,always -S open -F success=0
Снова вам следует проанализировать audit.log с помощью grep "$ pathoffileorfolder" /var/log/audit/audit.log
Это о том, что я бы использовал, не устанавливая ничего, что не входит в состав дистрибутива.