是否有一个日志文件,logging用户试图做的事情,并由于正常的Unix文件权限被拒绝。 我知道selinux做的事情,但很多时候,良好的文件许可权首先阻止他们。 发生这种情况时,是否有打印的日志。
谢谢
如何在Linux中设置和使用auditd:
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
不,这没有logging。
Auditctl允许您logging对文件的访问,包括访问被拒绝。
从手册:
To see unsuccessful open call's: auditctl -a exit,always -S open -F success!=0 我最近正在试图自己解决这个问题。 我在audit.rules手册中find了答案:
例子
以下规则显示了如何审核由于权限问题导致的对文件的访问失败。 请注意,每个拱ABI都需要两条规则来审核此文件,因为文件访问可能会失败,并显示两个不同的失败代码,表示权限问题。
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access
我毫不掩饰地回答我自己的问题。
你可能想看看AppArmor (最后的下载信息)。
默认情况下,大多数发行版都不logging。
不,在股票configuration中没有任何东西直接显示“用户bibby被拒绝访问/ root”
您可能能够find可能具有增强审计function的审计软件,或者可能使用更复杂的ACL访问文件的软件(如SeLinux),并且可能会logging日志,但即使Windows不logging此类权限错误(Sysinternals虽然显示即时访问被拒绝Windows的错误,但)。
我甚至觉得我甚至没有运行类似于Unix系统中的那些function的工具。
您可以尝试在日志中查找“偶然”事物,例如logging错误的邮件或Web服务器程序,以尝试访问特定的文件path,您应该在pipe理员那里访问这些文件path。
如果您对系统的安全感感兴趣,以免烦人的用户不喜欢,可以尝试一下这里列出的一些实用程序,看他们是否会帮助您。
如果用户由于权限而无法login,则用户将在其屏幕上获得“权限被拒绝”,并且将在日志中进入/不进行任何操作,但对用户可见