当用户因权限问题被拒绝访问文件时，是否有 Linux 日志

Question 1

如何在 Linux 中设置和使用 auditd：

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Answer

如何在 Linux 中设置和使用 auditd：

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Question 2

不，这没有记录。

Answer

不，这没有记录。

Question 3

审计控制允许您记录对文件的访问，包括被拒绝的访问。

来自手册页：

To see unsuccessful open call's:

auditctl -a exit,always -S open -F success!=0

Answer

审计控制允许您记录对文件的访问，包括被拒绝的访问。

来自手册页：

To see unsuccessful open call's:

auditctl -a exit,always -S open -F success!=0

Question 4

我最近一直在尝试自己解决这个问题。我在 audit.rules 手册页中找到了答案：

例子

以下规则显示了如何审核由于权限问题而导致的文件访问失败。请注意，每个 arch ABI 都需要两条规则来审核此问题，因为文件访问可能会失败，并出现两个不同的故障代码来表示权限问题。
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access

我毫不掩饰地回答了我自己的问题。

Answer

我最近一直在尝试自己解决这个问题。我在 audit.rules 手册页中找到了答案：

例子

以下规则显示了如何审核由于权限问题而导致的文件访问失败。请注意，每个 arch ABI 都需要两条规则来审核此问题，因为文件访问可能会失败，并出现两个不同的故障代码来表示权限问题。
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access

我毫不掩饰地回答了我自己的问题。

当用户因权限问题被拒绝访问文件时，是否有 Linux 日志

答案1

答案2

答案3

答案4

相关内容