Sioux: repérer l'exécution d'une commande à une heure donnée
Le
meta
Bonjour,
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien
détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande
rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde,
ou même tout process tournant dans cet intervalle ? (Sans être root).
Merci pour toute aide.
Je cherche à jouer les inspecteurs Colombo afin de retrouver qui peut bien
détruire un fichier tous les jours à heure fixe.
Le crontab et les scripts associés ont déjà été explorés à fond sans
permettre de résoudre le mystère, ainsi que le journal système.
Ma question est donc: comment faire pour capturer la liste de toute commande
rm qui serait déclenchée par exemple entre h - 1 seconde et h + 1 seconde,
ou même tout process tournant dans cet intervalle ? (Sans être root).
Merci pour toute aide.
Le 23/02/2012 20:15, meta a écrit :
strace -e trace=unlink /path_to_file/file_name
Pour contrôler tous les accès a ce fichier, pas seulement unlink :
strace -e trace=file /path_to_file/file_name
Marc
Si c'est linux, tu peux essayer inotify (man 7 inotify). Il semble qu'il
y ait des inotify-tools, sinon il te faudra écrire un petit programme,
mais au moins tu auras le coupable même s'il n'utilise pas rm. Cela di t,
sans être root... je ne sais pas.
-- Alain.
"meta"
Non ce n'est pas du Linux, à mon grand regret d'ailleurs.
Le 24/02/2012 07:50, meta a écrit :
Si, sous Fedora en tout cas :
yum install inotify-tools
Mais cela ne répond pas au problème posé car ces outils n'identifient
pas la commande responsable de l'action à ma connaissance.
Toujours sous Fedora, regarder plutot auditctl et ausearch en faisant
yum install audit si ces commandes ne sont pas disponibles.
Marc
Le 24/02/2012 18:41, Marc a écrit :
Je crois que tu as dû lire et comprendre « ce (inotify) n'est pas *sur*
Linux » alors que meta disait « ce (mon Unix) n'est pas *du* Linux ».
Cordialement,
--
Olivier Miakinen
Yep. C'est du Hache-Pé.
"meta"
Autre possibilité : remplacer (momentanément) le fichier par un
répertoire. Le programme qui efface le fichier échouera... Mais
aurez-vous une trace d'erreur accessible ? Sans être 'root', rien n'est
moins sûr.
--
Paul Gaborit -
Quel Unix de HP ? J'en vois 3, suite à rachats successifs :
Ultrix
HP-UX
Tru64
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Le 24/02/2012 18:54, Olivier Miakinen a écrit :
Effectivement, désolé.
Marc
Le 25/02/2012 00:14, meta a écrit :
Dans ce cas, il existe au moins sous HP UX l'équivalent du système
d'audit Linux :
http://docstore.mik.ua/manuals/hp-ux/en/B2355-60130/audit.5.html
http://docstore.mik.ua/manuals/hp-ux/en/B2355-60130/audevent.1M.html
Marc