คำถามติดแท็ก audit

ฉันรู้ว่าฉันสามารถดูไฟล์ที่เปิดของกระบวนการที่ใช้lsof ในขณะนั้นในเครื่อง Linux ของฉัน อย่างไรก็ตามกระบวนการสามารถเปิดแก้ไขและปิดไฟล์ได้อย่างรวดเร็วจนฉันไม่สามารถมองเห็นได้เมื่อทำการตรวจสอบโดยใช้เชลล์สคริปต์มาตรฐาน (เช่นwatch) ตามที่อธิบายไว้ใน"การตรวจสอบไฟล์กระบวนการเปิดบน linux (เรียลไทม์)" . ดังนั้นฉันคิดว่าฉันกำลังมองหาวิธีง่ายๆในการตรวจสอบกระบวนการและดูว่ามันทำอะไรไปบ้างเมื่อเวลาผ่านไป มันจะดีถ้ามันเป็นไปได้ที่จะเห็นว่าการเชื่อมต่อเครือข่ายมัน (พยายามที่จะ) และให้เริ่มต้นการตรวจสอบก่อนที่กระบวนการจะมีเวลาในการทำงานโดยไม่ต้องเริ่มการตรวจสอบ เป็นการดีที่ฉันต้องการทำสิ่งนี้: sh $ audit-lsof /path/to/executable 4530.848254 OPEN read /etc/myconfig 4530.848260 OPEN write /var/log/mylog.log 4540.345986 OPEN read /home/gert/.ssh/id_rsa <-- suspicious 4540.650345 OPEN socket TCP ::1:34895 -> 1.2.3.4:80 | [...] 4541.023485 CLOSE /home/gert/.ssh/id_rsa <-- would have missed 4541.023485 …

41 process  open-files  lsof  audit 

ฉันเพิ่งดำเนินการกระบวนการที่ยาวนานจากพรอมต์ bash ในการเข้าใจถึงปัญหาหลังฉันหวังว่าฉันจะใช้timeมันหรือสังเกตเวลาที่ฉันเตะมันออกไป มีวิธีในการรับข้อมูลนี้ย้อนหลังหรือไม่? .bash_historyดูเหมือนจะไม่รวมถึงการประทับเวลา ในกรณีของฉันคือ Mac OS X แต่ฉันสนใจโซลูชัน Unix / Linux ทั่วไป เพื่อชี้แจงกระบวนการนี้เสร็จสมบูรณ์แล้วและฉันไม่ต้องการเรียกใช้อีกครั้งเว้นแต่จำเป็นจริงๆ!

22 bash  osx  command-history  timestamps  audit 

ที่ฉันสามารถทำได้ auditctl -a always,exit -S all -F pid=1234 ในการบันทึกการโทรของระบบทั้งหมดโดย pid 1234 และ: auditctl -a always,exit -S all -F ppid=1234 สำหรับลูกหลานของฉัน แต่ฉันจะครอบคลุมเด็กผู้ยิ่งใหญ่และลูกหลานของพวกเขาได้อย่างไร (ปัจจุบันและอนาคต) ฉันไม่สามารถพึ่งพา (e) uid / (e) gid ที่เปลี่ยนแปลงได้ (โปรดทราบว่าการใช้straceไม่ใช่ตัวเลือกอย่างใดอย่างหนึ่ง)

13 linux  audit  linux-audit 

เวอร์ชั่นย่อ: จะปิดการใช้งานข้อความตรวจสอบ (dmesg) ในระบบ Fedora ได้อย่างไร? ระบบ Fedora ยังคงบันทึกข้อความ "การตรวจสอบ: ความสำเร็จ" ใน dmesg - ในแบบสุดขั้วที่ dmesg ไม่สามารถใช้งานได้เพราะเต็มไปด้วยข้อความเหล่านี้ ( dmesg | grep -v auditว่างเปล่า) ข้อความเหล่านี้ไร้ประโยชน์อย่างสมบูรณ์เนื่องจากต้องการแจ้งให้ผู้ใช้ทราบว่ากระบวนการภายในทุกวันประสบความสำเร็จ (ซึ่งอาจเป็นที่สนใจเมื่อทำการดีบั๊ก แต่เป็นเพียงเสียงรบกวนในกรณีนี้) แม้แต่อินเตอร์เฟสบรรทัดคำสั่ง (เมื่อเปลี่ยนเป็น non-X tty ด้วยCtrl+ Alt+ F2) ก็ไม่สามารถใช้งานได้เนื่องจากมันยุ่งเหยิงกับข้อความตรวจสอบเหล่านี้อยู่เสมอมันเป็นไปไม่ได้ที่จะอ่านเอาต์พุตของคำสั่งที่รันโดยผู้ใช้จริง ตัวอย่างเช่นหลังจากป้อนชื่อผู้ใช้ (เข้าสู่ระบบ) ข้อความตรวจสอบจะถูกพ่นออกมา (บอกผู้ใช้ว่าสิ่งที่จัดรูปแบบ / พิมพ์สำเร็จ): audit: type = 1131 audit (1446913801.945: 10129): pid = 1 …

11 linux  fedora  systemd  networkmanager  audit 

ฉันกำลังพยายามค้นหาวิธีการบันทึกอินสแตนซ์เฉพาะของrrdtoolเพื่อดูว่าเส้นทางที่ได้รับนั้นไม่ถูกต้อง ฉันรู้ว่าฉันสามารถตัดคำสั่งปฏิบัติการในเชลล์สคริปต์ที่จะบันทึกพารามิเตอร์ แต่ฉันสงสัยว่ามีวิธีเฉพาะเคอร์เนลเพิ่มเติมเพื่อตรวจสอบว่าอาจจะโทรกลับระบบไฟล์ที่เห็นเมื่อเฉพาะ / proc / pid / exe ตรงกับไบนารีที่กำหนด?

11 logs  proc  arguments  audit