[Sysadmins] Аудит действий пользователей.

[Avramenko Andrew]

Alexey Shabalin пишет:
> День добрый.
> Есть такой вопрос.
> В папке периодически пропадают файлики, к папке имеется доступ по ftp и smb.
> На sambe также настроен аудит. В общем в логах ftp и samba - ничего не
> найдено. Есть подозрение на какой-нибудь локальный скрипт(не крон -
> проверил), который чистит папку или действия пользователей - сервер
> многопользовательский . Есть ли какие нибудь средства аудита файловой
> системы, что бы узнать какой процесс/пользователь удаляет файл?
> (типа аналога аудита в офтопике NTFS, или аудита в самбе)

У нас в Red Hat есть демон audit. Он системные вызовы умеет 
перехватывать. Может быть это то, что Вы ищете? Но тут ядро должно быть 
патченное.


[root на localhost audit]# rpm -qi audit
Name        : audit                        Relocations: (not relocatable)
Version     : 1.2.9                             Vendor: Red Hat, Inc.
Release     : 1.el5                         Build Date: Втр 24 Окт 2006 
21:24:37
Install Date: Пнд 08 Янв 2007 13:22:28      Build Host: 
hs20-bc1-6.build.redhat.com
Group       : System Environment/Daemons    Source RPM: 
audit-1.2.9-1.el5.src.rpm
Size        : 515047                           License: GPL
Signature   : DSA/SHA1, Чтв 26 Окт 2006 01:38:40, Key ID fd372689897da07a
Packager    : Red Hat, Inc. <http://bugzilla.redhat.com/bugzilla>
URL         : http://people.redhat.com/sgrubb/audit/
Summary     : User space tools for 2.6 kernel auditing
Description :
The audit package contains the user space utilities for
storing and searching the audit records generate by
the audit subsystem in the Linux 2.6 kernel.