Есть ли в Linux журнал, когда пользователю отказано в доступе к файлам из-за разрешений

Есть ли файл журнала, который отслеживает действия пользователей, которым отказывают из-за обычных прав доступа к файлам Unix. Я знаю, что selinux что-то делает, но в большинстве случаев хорошие права доступа к файлам сначала останавливают их. Когда это происходит, есть ли журнал, который печатается на.

Спасибо

Как настроить и использовать auditd в Linux:

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

Нет, это не зарегистрировано.

Auditctl позволяет регистрировать доступ к файлам, в том числе доступ запрещен.

Из справочной страницы :

To see unsuccessful open call's:

auditctl -a exit,always -S open -F success!=0

Возможно, вы захотите проверить AppArmor (скачать информацию в конце).

По умолчанию большинство дистрибутивов не регистрируют это.

Я пытался решить эту проблему сам недавно. Я нашел ответ в справочной странице audit.rules:

Примеры

Следующее правило показывает, как проводить аудит неудачного доступа к файлам из-за проблем с разрешениями. Обратите внимание, что для каждого аудита ABI арки требуется два правила, поскольку доступ к файлу может завершиться с двумя разными кодами ошибок, указывающими на проблемы с разрешениями.

-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access

Мой откровенный ответ на мой собственный вопрос.

Нет, в стандартных конфигурациях нет ничего, что бы прямо указывало на то, что "пользователю bibby было отказано в доступе к / root"

Возможно, вам удастся найти программное обеспечение для аудита, которое может иметь расширенный аудит, или, возможно, программное обеспечение (например, SeLinux), которое использует более сложный доступ ACL к файлам и может регистрировать события, но даже Windows не регистрирует такие ошибки разрешения (существуют утилиты с Sysinternals которые показывают, что на лету ошибки доступа запрещены для Windows, хотя).

Я не думаю, что я даже сталкивался с какими-либо утилитами, похожими на те, что есть в системах Unix.

Вы можете попытаться найти «случайные» вещи в журналах, например, почтовые программы или программы веб-сервера, которые регистрируют ошибки, пытаясь получить доступ к определенным путям к файлам, которые, как вы знаете, должны быть у администратора.

Если вы заинтересованы в безопасности своей системы, чтобы пользователи не раздражали себя, вы можете попробовать некоторые из перечисленных здесь утилит и посмотреть, помогут ли они вам.

если пользователь не может войти в систему из-за разрешений, пользователь получит «разрешение запрещено» на своем экране и будет в / ничего не входит в журнал, но его видно пользователю