Question Comment savoir qui supprime des fichiers sur un serveur Linux?


Nous avons un serveur Linux qui est Ext4 et un autre serveur Linux qui a un ISCSI où les clients Windows ont des dossiers partagés.

  1. Autoriser les utilisateurs à modifier des fichiers sans les supprimer. Un utilisateur a la permission de modifier le contenu, mais ne peut pas supprimer les fichiers lui-même.
    1. Auditer tous les ajouts / suppressions / modifications de fichiers dans un journal tel que l'anglais format.
    2. Envoie des alertes si des tentatives de suppression sont en cours

7
2018-01-09 06:04


origine


Le problème avec votre plan est que la plupart des bons éditeurs enregistrent les modifications dans les fichiers en écrivant d’abord le nouveau fichier sous un nom de fichier différent, puis en supprimant l’ancien et en renommant le nouveau fichier avec le nom approprié. Ajoutez à cela la propension des programmes Windows tels que Word à enregistrer leurs fichiers temporaires dans le même dossier que le document d'origine et à vouloir supprimer le fichier à la fin, ce qui sera un dur tour. - DerfK
Mais ce ne sont pas pour les rédacteurs en chef de certains des départements, et ils ne sont pas autorisés à le faire en tant que pratiques - ramdaz
Que voulez-vous dire par "ils ne sont pas autorisés à faire cela"? DerfK faisait remarquer que certains logiciels ne fonctionneraient tout simplement pas si vous ne permettez pas à un fichier d'être supprimé / renommé. - Zoredache
Le serveur Linux partage-t-il les dossiers avec samba / CIFS? - kbulgrien
On dirait que vous devez réévaluer votre politique. Il n'y a pas beaucoup de différence entre écrire et supprimer. Et si ils écrivent un fichier vierge? Etes-vous inquiet du contenu des fichiers en cours de suppression ou des fichiers manquants brisant quelque chose en tant que dépendance? - David Houde


Réponses:


Si les clients Windows montent des partages Samba / CIFS, vous devriez consulter le module full_audit.so pour Samba.

Samba: Journalisation de l'activité de l'utilisateur

Samba - Journal d'audit du fichier avec full_audit 

Recherche Google - samba full_audit


2
2018-01-09 17:39





Je recommanderais de vérifier audit - http://people.redhat.com/sgrubb/audit/

Il peut surveiller à peu près tout et tout ce qui se passe dans le noyau - vous définissez vos propres règles pour correspondre au type d'activité syscall que vous souhaitez auditer.


2
2018-02-27 13:24





Découvrez les outils inotify, ou si vous êtes un programmeur, vous pouvez vous lancer vous-même. Ce n'est pas si difficile à faire; la partie la plus difficile consiste à garder une trace de tous les sous-répertoires et à gérer les ajouts / suppressions de répertoires / répertoires.

J'ai des programmes basés sur inotify s'exécutant sur quelques-uns de mes serveurs. Par exemple, sur celui qui stocke mes documents privés numérisés (factures, reçus, etc.), j'ai un programme qui surveille les nouveaux fichiers dans une arborescence de répertoires. Lorsqu'un nouveau document est créé, il est immédiatement crypté par PGP (sauf si le nouveau document est crypté par pgp, bien sûr). Un autre programme similaire envoie toute modification d’une arborescence particulière à un autre serveur, distant.

Je pouvais envisager de modifier l’un de ceux-ci pour simplement écrire dans un fichier d’audit qui pourrait ensuite être examiné selon les besoins. La partie la plus difficile que je vois à ce sujet est de veiller à ce que le fichier d’audit ne devienne pas trop volumineux.

Je vais en examiner un pour voir s'il est prêt pour le public. Si c'est le cas, je trouverai un endroit pour le partager.


0
2018-02-27 13:07





Utilisation Linux :: Inotify2  Perl module. Écrire un Perl script et le conserver en tant que démon en cours d'exécution.

Vous pouvez surveiller certains répertoires pour les événements suivants:

IN_ACCESS            object was accessed
 IN_MODIFY            object was modified
 IN_ATTRIB            object metadata changed
 IN_CLOSE_WRITE       writable fd to file / to object was closed
 IN_CLOSE_NOWRITE     readonly fd to file / to object closed
 IN_OPEN              object was opened
 IN_MOVED_FROM        file was moved from this object (directory)
 IN_MOVED_TO          file was moved to this object (directory)
 IN_CREATE            file was created in this object (directory)
 IN_DELETE            file was deleted from this object (directory)
 IN_DELETE_SELF       object itself was deleted
 IN_MOVE_SELF         object itself was moved
 IN_ALL_EVENTS        all of the above events

 IN_ONESHOT           only send event once
 IN_ONLYDIR           only watch the path if it is a directory
 IN_DONT_FOLLOW       don't follow a sym link
 IN_MASK_ADD          not supported with the current version of this module

 IN_CLOSE             same as IN_CLOSE_WRITE | IN_CLOSE_NOWRITE
 IN_MOVE              same as IN_MOVED_FROM | IN_MOVED_TO

0
2018-03-18 13:43