Audit framework -- Ругается на 2.2 Audit syscalls
| Bendalf |
|
Темы:
36
Сообщения:
395
Участник с: 14 мая 2019
|
Я делал по https://wiki.archlinux.org/index.php/Audit_framework Ругается на 2.2 Audit syscalls auditctl -a entry,always -S chmod - сообщает что это не верно. Что я делаю не так ? гуглить пробовал не помогло. Пожалуйста подскажите
С уважением, .
|
| vasek |
|
|
Темы:
48
Сообщения:
11340
Участник с: 17 февраля 2013
|
BendalfЕсли взялся осваивать linux, привыкай больше и вдумчиво читать. И не нужно копипастить даже из Wiki, если не понимаешь суть ... и там бывают ошибки/описки или устарело. Если получаешь ошибку на веденную команду, значит железный мозг тебя не понимает - смотри man - вот найдешь там событие entry? - нет, только exit, плюс к этому можно логировать только при успешном завершении вызова или только в определенной директории, ну и можно добавить и битность (32 или 64) и так далее - а значит будет что то типа такого (написал специально много лишнего) auditctl -a always,exit -F arch=b64 -S chmod -F success=0 -F path=/etc А вообще при неправильном использовании можешь сильно затормозить систему - будет постоянно что то писать в логи. А вообще все это лишнее и не нужное .... не то изучаешь.
Ошибки не исчезают с опытом - они просто умнеют
|
| Bendalf |
|
|
Темы:
36
Сообщения:
395
Участник с: 14 мая 2019
|
vasekмне интересно попробовать всё. в манах как правило нет примеров как применять. вы сказали "в вики может быть неверно или устарело" потому то я и поинтересовался здесь. спасибо что откликнулись
С уважением, .
|
| vasek |
|
|
Темы:
48
Сообщения:
11340
Участник с: 17 февраля 2013
|
Не забываем поставить РЕШЕНО
Ошибки не исчезают с опытом - они просто умнеют
|
| Bendalf |
|
|
Темы:
36
Сообщения:
395
Участник с: 14 мая 2019
|
vasekпопробую и сделаю. спасибо.
С уважением, .
|
| Bendalf |
|
|
Темы:
36
Сообщения:
395
Участник с: 14 мая 2019
|
мне нужно отловить изменение "время последней модификации" сравнить с заданным(по файлу лежащему в бекапе) если отличается заменить наблюдаемый файл из резервной копии. я нашел в https://jlk.fjfi.cvut.cz/arch/manpages/man/syscalls.2 вроде подходящее https://jlk.fjfi.cvut.cz/arch/manpages/man/fstat64.2.en и https://jlk.fjfi.cvut.cz/arch/manpages/man/lstat64.2.en мне хотя бы один пример нужен рабочий. по манам я не могу понять как правильно писать такие правила. В вики рассмотрена только запись в файл. Но не подмена моего файла фигнёй. может это не совсем правильная схема. auditctl обнаруживает. дает сигнал systemd и оповещает меня почтой локально. systemd производит замену. Уже несколько раз проморгал когда пакман мне переписал конфиги. Потом несколько вечеров убил чтобы вернуть как было
С уважением, .
|
| vasek |
|
|
Темы:
48
Сообщения:
11340
Участник с: 17 февраля 2013
|
BendalfВот зачем такие сложности ... всегда усложняешь. Вот зачем тебе нужен этот комбайн auditctl - ты что часто смотришь? и везде? Не проще использовать find для поиска модифицированных файлов и только в важных директориях, например, /etc. Начни с этого - как это можно делать, посмотри, например, это (ну и гугли или составь свою команду) PS - специально нашел для тебя эту ссылку - там в конце список, который может заинтересовать ...
Ошибки не исчезают с опытом - они просто умнеют
|
| Bendalf |
|
|
Темы:
36
Сообщения:
395
Участник с: 14 мая 2019
|
vasekмой конструируемый вариант отлавливает по syscalls , то есть в мгновение ока.. syscalls они в оперативке. тк это вызовы ядра. find будет мурыжить hdd . и пока он найдет я уже введу какую то команду в терминале и оно всё искорёжит, основываясь на неверных конфигах. за наводку спасибо. и сама страница и ссылки хороши. как раз для чайников как я )
С уважением, .
|