audit d'acces fichiers sous linux

Le
paf le chien
bonjour,

j'avais sous NT4 WS une possibilité d'audit d'accès aux fichiers (ou aux
clefs de BDR, enfin l'audit quoi) sur NTFS. C'était très commode et bien
fait.

Depuis quelques années que je suis sous linux, je m'aperçois que je ne
m'étais jamais posé la question et voilà que je me rends compte que je
n'ai _aucune_ idée de la manière d'auditer les accès à un fichier
quelconque.

J'ai cherché un peu, trouvé quelques pistes (patcher le noyau pour
qu'il supporte les ACL en serait une mais j'ai un doute sur les
possibilités d'audit), je viens de lire le descriptif de LIDS qui est
intéressant aussi pour de multiples raisons mais pas forcément celle-ci

alors voilà, avez-vous une manière euh disons académique quoi, enfin une
manière habituelle, de procéder à l'audit des succès/échecs d'accès à un
fichier par un processus ou un utilisateur?

Merci

c'est pour une slackware 9.0, noyau 2.4.20, ext2 partout

--
paf le chien
virez le primate pour répondre
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric Masson
Le #873145
paf le chien
'Lut,

alors voilà, avez-vous une manière euh disons académique quoi, enfin une
manière habituelle, de procéder à l'audit des succès/échecs d'accès à un
fichier par un processus ou un utilisateur?

c'est pour une slackware 9.0, noyau 2.4.20, ext2 partout


Euh, il y a une fonctionnalité de ce type pour les noyaux série 2.6
(option audit et daemon auditd), voir ici :
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Par contre, je n'ai aucune idée de ce qui pouvait exister en 2.4.

--
Enlevez .invalid pour me répondre par mail, merci.
-+- YP in GNU : La vraie-fausse adresse -+-

gerbier
Le #873144
Eric Masson wrote:
paf le chien

Euh, il y a une fonctionnalité de ce type pour les noyaux série 2.6
(option audit et daemon auditd), voir ici :
http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Par contre, je n'ai aucune idée de ce qui pouvait exister en 2.4.


fam (file alteration monitor) permet d'être prévenu par le noyau quand
un fichier spécifié est modifié

il est maintenant remplacé par l'implémenation de gamin
(http://www.gnome.org/~veillard/gamin/)

par contre il y a peut-être un peu de code à écrire, ce qui est assez
facile à partir des exemples donnés

Nicolas George
Le #873142
gerbier wrote in message
fam (file alteration monitor) permet d'être prévenu par le noyau quand
un fichier spécifié est modifié

il est maintenant remplacé par l'implémenation de gamin
(http://www.gnome.org/~veillard/gamin/)


Non, c'est inotify qui permet d'être notifié par le noyau. FAM/Gamin sont
des démons qui utilisent soit inotify soit du polling, de manière à ne pas
dépendre d'une fonctionnalité trop récente et trop peu portable. Et ils se
concentrent surtout sur les modifications.

paf le chien
Le #873139
merci à tous les trois, ce sont les informations dont j'avais besoin.

--
paf le chien
virez le primate pour répondre
Publicité
Poster une réponse
Anonyme