Como descobrir quem está apagando files em um server Linux?

Temos um server Linux que é o Ext4 e outro Servidor Linux que possui um ISCSI onde os clientes do Windows têm pastas compairtilhadas. Preciso

  1. Permitir aos users modificair files e não excluí-los. Um user tem permissão paira modificair o conteúdo, mas não pode excluir os próprios files.
    1. Auditair todas as operações de adicionair / excluir / modificair files em um format de log com format de inglês.
    2. Enviair alertas se as tentativas forem feitas paira excluir

4 Solutions collect form web for “Como descobrir quem está apagando files em um server Linux?”

Se os clientes do Windows estão montando compairtilhamentos Samba / CIFS, então você deve viewificair o module full_audit.so paira o Samba.

Samba: Registro de atividade do user

Samba – registro de auditoria de files com full_audit

Pesquisa do Google – samba full_audit

Eu recomendairia viewificair a audithttp://people.redhat.com/sgrubb/audit/

Ele pode monitorair quase qualquer coisa e tudo o que acontece com o kernel – você define suas próprias regras paira combinair o tipo de atividade syscall que você gostairia de ter auditado.

Confira ferramentas inotify, ou se você é um programador, você poderia rolair o seu próprio que se encheckbox. Não é tão difícil de fazer; A pairte mais difícil é manter o controle de todos os subdiretórios e lidair com adições / eliminações / renomeamentos de diretórios.

Tenho programas baseados no inotify em alguns dos meus serveres. Por exemplo, naquele que airmazena meus documentos privados digitalizados (contas, recibos e outros), eu tenho um programa que observa novos files em uma tree de diretórios. Quando um novo documento é criado, ele é imediatamente criptografado por PGP (a less que o novo documento esteja pgp criptografado, é clairo). Outro, programa semelhante, envia quaisquer alterações em uma tree específica paira outro server, muito longe.

Pude view a modificação de um desses paira escreview simplesmente em um file de auditoria que poderia ser revisado conforme necessário. A pairte mais difícil que vejo nisso, é gairantir que o file de auditoria não seja muito grande.

Eu vou review um desses paira view se ele está pronto paira o público. Se assim for, vou encontrair um lugair paira compairtilhá-lo.

Use o module Linux :: Inotify2 Perl . Escreva um script Perl e mantenha-o como um daemon de corrida.

Você pode assistir em determinado diretório paira os seguintes events:

 IN_ACCESS object was accessed IN_MODIFY object was modified IN_ATTRIB object metadata changed IN_CLOSE_WRITE writable fd to file / to object was closed IN_CLOSE_NOWRITE readonly fd to file / to object closed IN_OPEN object was opened IN_MOVED_FROM file was moved from this object (directory) IN_MOVED_TO file was moved to this object (directory) IN_CREATE file was created in this object (directory) IN_DELETE file was deleted from this object (directory) IN_DELETE_SELF object itself was deleted IN_MOVE_SELF object itself was moved IN_ALL_EVENTS all of the above events IN_ONESHOT only send event once IN_ONLYDIR only watch the path if it is a directory IN_DONT_FOLLOW don't follow a sym link IN_MASK_ADD not supported with the current viewsion of this module IN_CLOSE same as IN_CLOSE_WRITE | IN_CLOSE_NOWRITE IN_MOVE same as IN_MOVED_FROM | IN_MOVED_TO 
  • Como instalair de forma segura executáveis ​​do Windows em toda a networking usando o SCCM?
  • Laptop astringdo do sono
  • Problema do Samba do Windows 7
  • Como posso manipulair as bibliotecas do Windows 7 por meio da Diretiva de Grupo?
  • Local desconhecer% DATE% e% TIME% em files em lote?
  • Recupere os detalhes do user do Active Directory usando SID
  • O que está airmazenado em% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?
  • Como registrair todas as consultas no Outlook Web Access (msexchange 2010)
  • Não é possível conectair-se a services MS em networkings