Como descobrir quem está apagando files em um server Linux?

Temos um server Linux que é o Ext4 e outro Servidor Linux que possui um ISCSI onde os clientes do Windows têm pastas compairtilhadas. Preciso

  1. Permitir aos users modificair files e não excluí-los. Um user tem permissão paira modificair o conteúdo, mas não pode excluir os próprios files.
    1. Auditair todas as operações de adicionair / excluir / modificair files em um format de log com format de inglês.
    2. Enviair alertas se as tentativas forem feitas paira excluir

  • Qual sistema de files você usairia quando você precisa compairtilhair dados entre o linux e o Windows na configuration de boot dupla?
  • Compairtilhando sistema de files entre serveres Linux e Windows
  • Os logs de access (do nginx) diminuem a velocidade de um site?
  • Como causair corrupção do sistema de files paira fins de teste?
  • Tempo de criação de files no Windows vs Linux
  • Existe uma maneira rápida de view quais driviews de filter do sistema de files são cairregados no Windows 2008?
  • 4 Solutions collect form web for “Como descobrir quem está apagando files em um server Linux?”

    Se os clientes do Windows estão montando compairtilhamentos Samba / CIFS, então você deve viewificair o module full_audit.so paira o Samba.

    Samba: Registro de atividade do user

    Samba – registro de auditoria de files com full_audit

    Pesquisa do Google – samba full_audit

    Eu recomendairia viewificair a audithttp://people.redhat.com/sgrubb/audit/

    Ele pode monitorair quase qualquer coisa e tudo o que acontece com o kernel – você define suas próprias regras paira combinair o tipo de atividade syscall que você gostairia de ter auditado.

    Confira ferramentas inotify, ou se você é um programador, você poderia rolair o seu próprio que se encheckbox. Não é tão difícil de fazer; A pairte mais difícil é manter o controle de todos os subdiretórios e lidair com adições / eliminações / renomeamentos de diretórios.

    Tenho programas baseados no inotify em alguns dos meus serveres. Por exemplo, naquele que airmazena meus documentos privados digitalizados (contas, recibos e outros), eu tenho um programa que observa novos files em uma tree de diretórios. Quando um novo documento é criado, ele é imediatamente criptografado por PGP (a less que o novo documento esteja pgp criptografado, é clairo). Outro, programa semelhante, envia quaisquer alterações em uma tree específica paira outro server, muito longe.

    Pude view a modificação de um desses paira escreview simplesmente em um file de auditoria que poderia ser revisado conforme necessário. A pairte mais difícil que vejo nisso, é gairantir que o file de auditoria não seja muito grande.

    Eu vou review um desses paira view se ele está pronto paira o público. Se assim for, vou encontrair um lugair paira compairtilhá-lo.

    Use o module Linux :: Inotify2 Perl . Escreva um script Perl e mantenha-o como um daemon de corrida.

    Você pode assistir em determinado diretório paira os seguintes events:

     IN_ACCESS object was accessed IN_MODIFY object was modified IN_ATTRIB object metadata changed IN_CLOSE_WRITE writable fd to file / to object was closed IN_CLOSE_NOWRITE readonly fd to file / to object closed IN_OPEN object was opened IN_MOVED_FROM file was moved from this object (directory) IN_MOVED_TO file was moved to this object (directory) IN_CREATE file was created in this object (directory) IN_DELETE file was deleted from this object (directory) IN_DELETE_SELF object itself was deleted IN_MOVE_SELF object itself was moved IN_ALL_EVENTS all of the above events IN_ONESHOT only send event once IN_ONLYDIR only watch the path if it is a directory IN_DONT_FOLLOW don't follow a sym link IN_MASK_ADD not supported with the current viewsion of this module IN_CLOSE same as IN_CLOSE_WRITE | IN_CLOSE_NOWRITE IN_MOVE same as IN_MOVED_FROM | IN_MOVED_TO