Czasem jest potrzeba monitorowania kto i kiedy (czy aby nie za często) zagląda do określonych plików. O ile dostęp dla zwykłych użytkowników możemy ograniczyć, chociażby przez ACL'e lub mechanizmy SE Linux, to z administratorami (słynny root) jest większy problem. Jest to szczególnie ważne w środowiskach gdzie jest kilku administratorów z uprawnieniami do korzystania z polecenia su lub/i sudo.
Linuks ma gotowe rozwiązanie każdego problemu (w końcu wykonuje pętlę nieskończona w 5 sekund) - w tym przypadku jest to auditd.
Aby monitorować kto zagląda do katalogu /shares/dokumety trzeba dopisać w pliku /etc/audit/audit.rules (na końcu):
-a exit,always -S all -F dir=/shares/dokumenty
i uruchomić ponownie auditd. Teraz każde odczytanie katalogu (polecenie ls to właśnie odczytanie katalogu) czy pliku w ścieżce /shares/dokumenty (łącznie z podkatalogami) będzie monitorowane.
Oczywiście tego może być dużo, a po drugie dla kogoś te dokumenty są, dlatego można dodać ogranicznik (na końcu lini)
-F gid!=555
jeżeli użytkownicy należący do grupy o numerze 555 mają mieć dostęp. Ponadto jeżeli interesuje nas tylko otwarcie pliku to można zamiast -S all dać -S open -S truncate. W całości taka reguła będzie wyglądała tak:
-a exit,always -S open -S truncate -F dir=/shares/dokumenty -F gid!=555
o innych opcjach można sobie jeszcze poczytać:
man audit.rules man auditctl
Jak już wspomniałem taki logów może być dużo, a przeglądanie surowego pliku /var/log/audit.log nie nalezy do najprzyjemniejszych. Na szczeście do przeglądania logów można użyć polecenia ausearch z przełącznikiem -i które ładniej wyświetli daty zamiast timestamp'u i użytkowników zamiast ich uid'ów.
Dawno się już nie "bawiłem" statystykami, więc stawiając MRTG musiałem sobie totalną powtórkę fundnąć.
Do działania potrzeba pakietów (Mandriva):
- net-snmp
- net-snmp-utils
- net-snmp-mibs (opcja)
- mrtg
Po zainstalowaniu uruchomić demona SNMP (/etc/init.d/snmpd start)
Wygenerować domyślną konfigurację poleceniem
/usr/bin/cfgmaker public@localhost > /etc/mrtg/mrtg.cfg
musiałem tylko zmienić WorkDir na taki jak był oryginalnie (/var/lib/mrtg).
Teraz wystarczy poczekać 15-20 min, bo statystyki są aktualizowane co 5 min. Wynik można oglądać w przeglądarce wpisując twoja.nazwa.serwera/mrtg/localhost_5.html. Nie wyglądają może rewelacyjnie, ale najważniejsze, że są dane.
Add comment