是否有一个日志文件可以记录用户尝试执行但因常规 unix 文件权限而被拒绝的操作。我知道 selinux 可以执行操作,但很多时候,老旧的文件权限会先阻止它们。当这种情况发生时,是否有一个日志可以打印出来。
谢谢
答案1
如何在 Linux 中设置和使用 auditd:
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
答案2
不,这没有记录。
答案3
答案4
我最近一直在尝试自己解决这个问题。我在 audit.rules 手册页中找到了答案:
例子
以下规则显示了如何审核由于权限问题而导致的文件访问失败。请注意,每个 arch ABI 都需要两条规则来审核此问题,因为文件访问可能会失败,并出现两个不同的故障代码来表示权限问题。
-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access -a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access