Gibt es ein Linux-Protokoll, wenn einem Benutzer aufgrund von Berechtigungen der Zugriff auf Dateien verweigert wird?

Gibt es eine Protokolldatei, die nachverfolgt, was Benutzer versuchen und aufgrund regulärer Unix-Dateiberechtigungen verweigert werden? Ich weiß, dass Selinux Dinge tut, aber die guten alten Dateiberechtigungen stoppen sie oft zuerst. Wenn dies passiert, gibt es ein Protokoll, in das gedruckt wird.

Vielen Dank

So richten Sie auditd unter Linux ein und verwenden es:

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Nein, das ist nicht protokolliert.

Mit Auditctl können Sie den Zugriff auf Dateien protokollieren, einschließlich des verweigerten Zugriffs.

Aus der Manpage :

To see unsuccessful open call's:

auditctl -a exit,always -S open -F success!=0

Vielleicht möchten Sie AppArmor ausprobieren (Informationen zum Herunterladen am Ende).

Standardmäßig protokollieren die meisten Distributionen das nicht.

Ich habe kürzlich versucht, dieses Problem selbst zu lösen. Ich habe die Antwort auf der Manpage audit.rules gefunden:

Beispiele

Die folgende Regel zeigt, wie der fehlgeschlagene Zugriff auf Dateien aufgrund von Berechtigungsproblemen überwacht wird. Beachten Sie, dass für jedes Arch-ABI zwei Regeln erforderlich sind, um dies zu überprüfen, da der Dateizugriff mit zwei verschiedenen Fehlercodes fehlschlagen kann, die auf Berechtigungsprobleme hinweisen.

-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access

Meine unverfrorene Antwort auf meine eigene Frage.

Nein, in Standardkonfigurationen gibt es nichts, was direkt anzeigt, dass dem Benutzer Bibby der Zugriff auf / root verweigert wurde.

Möglicherweise finden Sie Überwachungssoftware mit erweiterter Überwachung oder Software (wie SeLinux), die einen komplexeren ACL-Zugriff auf Dateien verwendet und möglicherweise Dinge protokolliert, aber selbst Windows protokolliert solche Berechtigungsfehler nicht (es gibt Dienstprogramme mit Sysinternals) Diese zeigen jedoch, dass während des laufenden Zugriffs Fehler für Windows verweigert wurden.

Ich glaube nicht, dass ich auf Dienstprogramme gestoßen bin, die dieser Funktionalität in Unix-Systemen ähneln.

Sie können versuchen, in Protokollen nach "zufälligen" Dingen zu suchen, z. B. nach E-Mail- oder Webserverprogrammen, die Fehler protokollieren und versuchen, auf bestimmte Dateipfade zuzugreifen, von denen Sie als Administrator wissen, dass sie vorhanden sein sollten.

Wenn Sie an der Sicherheit Ihres Systems interessiert sind, um lästige Benutzer davon abzuhalten, lästig zu handeln, können Sie einige der hier aufgeführten Dienstprogramme ausprobieren und prüfen, ob sie Ihnen helfen.

Wenn sich der Benutzer aufgrund von Berechtigungen nicht anmelden kann, wird dem Benutzer auf seinem Bildschirm "Berechtigung verweigert" angezeigt, und er befindet sich im Protokoll. Es wird nichts in das Protokoll aufgenommen, aber es ist für den Benutzer sichtbar