Apakah ada log linux untuk ketika pengguna ditolak akses ke file karena izin

Apakah ada file log yang melacak hal-hal yang coba dilakukan pengguna dan ditolak karena izin file unix biasa. Saya tahu selinux melakukan sesuatu, tetapi seringkali izin file ole yang bagus menghentikan mereka terlebih dahulu. Ketika ini terjadi, apakah ada log yang akan dicetak.

Terima kasih

Cara mengatur dan menggunakan auditd di Linux:

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Tidak, itu belum login.

Auditctl memungkinkan Anda untuk mencatat akses ke file, termasuk akses yang ditolak.

Dari halaman manual :

To see unsuccessful open call's:

auditctl -a exit,always -S open -F success!=0

Anda mungkin ingin memeriksa AppArmor (info unduhan di bagian akhir).

Secara default kebanyakan distro tidak mencatatnya.

Saya mencoba menyelesaikan masalah ini sendiri baru-baru ini. Saya menemukan jawabannya di halaman audit. Aturan:

Contohnya

Aturan berikut menunjukkan cara mengaudit akses yang gagal ke file karena masalah izin. Perhatikan bahwa dibutuhkan dua aturan untuk setiap lengkung ABI untuk mengaudit ini karena akses file dapat gagal dengan dua kode kegagalan yang berbeda yang menunjukkan masalah izin.

-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access

Jawaban saya yang tidak malu untuk pertanyaan saya sendiri.

Tidak, dalam konfigurasi stok tidak ada apa pun yang secara langsung menunjukkan "pengguna pengguna ditolak akses ke / root"

Anda mungkin dapat menemukan perangkat lunak audit yang mungkin telah meningkatkan audit atau mungkin perangkat lunak (seperti SeLinux) yang menggunakan akses ACL yang lebih kompleks ke file dan mungkin mencatat sesuatu, tetapi bahkan Windows tidak mencatat kesalahan izin seperti itu (ada utilitas dengan Sysinternals yang menunjukkan akses langsung menolak kesalahan untuk Windows).

Saya rasa saya tidak pernah menemukan utilitas yang serupa dengan fungsionalitas pada sistem Unix.

Anda dapat mencoba mencari hal-hal "insidentil" dalam log, seperti program mail atau server web yang mencatat kesalahan saat mencoba mengakses jalur file tertentu yang sebagai administrator Anda tahu harus ada di sana.

Jika Anda tertarik pada keamanan pada sistem Anda untuk mencegah pengguna sial dari bertindak sial, Anda dapat mencoba beberapa utilitas yang tercantum di sini dan melihat apakah mereka akan membantu Anda.

jika pengguna tidak bisa masuk karena izin, pengguna akan mendapatkan "izin ditolak" di layarnya dan akan / tidak ada yang masuk dalam log, tetapi terlihat oleh pengguna