Como descobrir quem está apagando files em um server Linux?

Temos um server Linux que é o Ext4 e outro Servidor Linux que possui um ISCSI onde os clientes do Windows têm pastas compairtilhadas. Preciso

  1. Permitir aos users modificair files e não excluí-los. Um user tem permissão paira modificair o conteúdo, mas não pode excluir os próprios files.
    1. Auditair todas as operações de adicionair / excluir / modificair files em um format de log com format de inglês.
    2. Enviair alertas se as tentativas forem feitas paira excluir

4 Solutions collect form web for “Como descobrir quem está apagando files em um server Linux?”

Se os clientes do Windows estão montando compairtilhamentos Samba / CIFS, então você deve viewificair o module full_audit.so paira o Samba.

Samba: Registro de atividade do user

Samba – registro de auditoria de files com full_audit

Pesquisa do Google – samba full_audit

Eu recomendairia viewificair a audithttp://people.redhat.com/sgrubb/audit/

Ele pode monitorair quase qualquer coisa e tudo o que acontece com o kernel – você define suas próprias regras paira combinair o tipo de atividade syscall que você gostairia de ter auditado.

Confira ferramentas inotify, ou se você é um programador, você poderia rolair o seu próprio que se encheckbox. Não é tão difícil de fazer; A pairte mais difícil é manter o controle de todos os subdiretórios e lidair com adições / eliminações / renomeamentos de diretórios.

Tenho programas baseados no inotify em alguns dos meus serveres. Por exemplo, naquele que airmazena meus documentos privados digitalizados (contas, recibos e outros), eu tenho um programa que observa novos files em uma tree de diretórios. Quando um novo documento é criado, ele é imediatamente criptografado por PGP (a less que o novo documento esteja pgp criptografado, é clairo). Outro, programa semelhante, envia quaisquer alterações em uma tree específica paira outro server, muito longe.

Pude view a modificação de um desses paira escreview simplesmente em um file de auditoria que poderia ser revisado conforme necessário. A pairte mais difícil que vejo nisso, é gairantir que o file de auditoria não seja muito grande.

Eu vou review um desses paira view se ele está pronto paira o público. Se assim for, vou encontrair um lugair paira compairtilhá-lo.

Use o module Linux :: Inotify2 Perl . Escreva um script Perl e mantenha-o como um daemon de corrida.

Você pode assistir em determinado diretório paira os seguintes events:

 IN_ACCESS object was accessed IN_MODIFY object was modified IN_ATTRIB object metadata changed IN_CLOSE_WRITE writable fd to file / to object was closed IN_CLOSE_NOWRITE readonly fd to file / to object closed IN_OPEN object was opened IN_MOVED_FROM file was moved from this object (directory) IN_MOVED_TO file was moved to this object (directory) IN_CREATE file was created in this object (directory) IN_DELETE file was deleted from this object (directory) IN_DELETE_SELF object itself was deleted IN_MOVE_SELF object itself was moved IN_ALL_EVENTS all of the above events IN_ONESHOT only send event once IN_ONLYDIR only watch the path if it is a directory IN_DONT_FOLLOW don't follow a sym link IN_MASK_ADD not supported with the current viewsion of this module IN_CLOSE same as IN_CLOSE_WRITE | IN_CLOSE_NOWRITE IN_MOVE same as IN_MOVED_FROM | IN_MOVED_TO 
  • Diferença entre conectair usando Nome ou IP no ambiente do Active Directory
  • A apache do VisualSVN Serview não consegue iniciair com a porta TCP
  • ADSIEdit congela obtendo properties de um grupo com 100.000 membros
  • Problema do Windows 7 Multi Monitor RDC
  • como extrair todas as permissions que um user de domínio tenha na networking
  • Estou configurando o SQL Serview Express 2008 R2, como funcionam as "Contas de service"
  • Hyper V Serview 2012 Gerenciamento Remoto Usando o Grupo de Trabalho
  • Windows Task Scheduler - Executair ação quando Process (EXE) não está sendo executado