Re: [Comandob] monitoring d'un file
El lun, 10-05-2010 a las 11:48 +0200, Arnau Bria escribió: > Crec que he trobat la solució amb audit: > > http://people.redhat.com/sgrubb/audit/ > > he vist algun exemple i és el que estic buscant: > > type=PATH msg=audit(03/16/2007 14:52:59.985:55) : name=/etc/passwd > flags=follow,open inode=23087346 dev=08:02 mode=file,644 ouid=root ogid=root > rdev=00:00 > type=CWD msg=audit(03/16/2007 14:52:59.985:55) : cwd=/webroot/home/lighttpd > type=FS_INODE msg=audit(03/16/2007 14:52:59.985:55) : inode=23087346 > inode_uid=root inode_gid=root inode_dev=08:02 inode_rdev=00:00 > type=FS_WATCH msg=audit(03/16/2007 14:52:59.985:55) : watch_inode=23087346 > watch=passwd filterkey=password-file perm=read,write,append perm_mask=read > type=SYSCALL msg=audit(03/16/2007 14:52:59.985:55) : arch=x86_64 syscall=open > success=yes exit=3 a0=7fbcb4 a1=0 a2=2 a3=6171d0 items=1 pid=12551 > auid=unknown(4294967295) uid=lighttpd gid=lighttpd euid=lighttpd > suid=lighttpd fsuid=lighttpd egid=lighttpd sgid=lighttpd fsgid=lighttpd > comm=grep exe=/bin/grep > > > gràcies a tots! Vaja, juro que he enviat el meu correo abans no m'arribés aquest xD -- jors -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
El lun, 10-05-2010 a las 10:19 +0200, Arnau Bria escribió: > I després de mirar la llista d'events monitoritzables: > > http://trac.dbzteam.org/pyinotify/pyinotify-api/ > > i jugar una mica amb exemples al tmp, veig que no em diu "qui" està > tocant el fitxer: Alguien de aqui ha usado d/inotify en profundidad y nos puede ilustrar? He estado mirando en los fuentes del Kernel la parte de Inotify , y _no_ veo por ningun sitio que maneje uids. De hecho , hay alguien x ahi que ha enviado algun parche y se lo han rechazado aduciendo problemas de seguridad. http://www.ioremap.net/node/55 Slds! -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
Tornem a començar. Sembla que audit et pot ajudar: http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html Ara sí? -- jors El vie, 07-05-2010 a las 13:06 +0200, Arnau Bria escribió: > Hola a tots, > > tinc una màquian on, de tant en tant, els permisos de /dev/null canvin. > i no n omés els permissos sinó que passa a ser un fitxer buit: > > # ls -lsa /dev/null > root root 0 May 7 12:39 /dev/null > > ja us podeu imaginar que suposa aquest canvi. > > ara estic buscant alguna eina que em monitoritzi l'accés aa quest > fitxer i, sobretot, qui canvia els permisos. > > estava mirant inotify, pero, a pesar de que em diu els accessos i > lesmodificacions, no veig que em digui qui els fa ni que fa. > > algú coneix alguna eina que faci el que demano? > > gràcies! > > -- > Arnau Bria > http://blog.emergetux.net > Bombing for peace is like fucking for virginity > -- > ___ > Comandob mailing list > Comandob@badopi.org > http://lists.badopi.org/mailman/listinfo/comandob -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
Crec que he trobat la solució amb audit: http://people.redhat.com/sgrubb/audit/ he vist algun exemple i és el que estic buscant: type=PATH msg=audit(03/16/2007 14:52:59.985:55) : name=/etc/passwd flags=follow,open inode=23087346 dev=08:02 mode=file,644 ouid=root ogid=root rdev=00:00 type=CWD msg=audit(03/16/2007 14:52:59.985:55) : cwd=/webroot/home/lighttpd type=FS_INODE msg=audit(03/16/2007 14:52:59.985:55) : inode=23087346 inode_uid=root inode_gid=root inode_dev=08:02 inode_rdev=00:00 type=FS_WATCH msg=audit(03/16/2007 14:52:59.985:55) : watch_inode=23087346 watch=passwd filterkey=password-file perm=read,write,append perm_mask=read type=SYSCALL msg=audit(03/16/2007 14:52:59.985:55) : arch=x86_64 syscall=open success=yes exit=3 a0=7fbcb4 a1=0 a2=2 a3=6171d0 items=1 pid=12551 auid=unknown(4294967295) uid=lighttpd gid=lighttpd euid=lighttpd suid=lighttpd fsuid=lighttpd egid=lighttpd sgid=lighttpd fsgid=lighttpd comm=grep exe=/bin/grep gràcies a tots! -- Arnau Bria http://blog.emergetux.net Bombing for peace is like fucking for virginity -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
I després de mirar la llista d'events monitoritzables: http://trac.dbzteam.org/pyinotify/pyinotify-api/ i jugar una mica amb exemples al tmp, veig que no em diu "qui" està tocant el fitxer: [Pyinotify DEBUG] Event queue size: 32 [Pyinotify DEBUG] <_RawEvent cookie=0 mask=0x4020L name='' wd=1 > [Pyinotify DEBUG] <_RawEvent cookie=0 mask=0x4010L name='' wd=1 > [Pyinotify DEBUG] Event queue size: 32 [Pyinotify DEBUG] <_RawEvent cookie=0 mask=0x4020L name='' wd=1 > [Pyinotify DEBUG] <_RawEvent cookie=0 mask=0x4010L name='' wd=1 > [Pyinotify DEBUG] Event queue size: 32 [Pyinotify DEBUG] <_RawEvent cookie=0 mask=0x200L name=null wd=1 > gràcies per les respostes! -- Arnau Bria http://blog.emergetux.net Bombing for peace is like fucking for virginity -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
Hola, primer, perdó per trencar el fil, vaig baixar el correu a casa i avui no he pogut sincronitzar-lo amb el de la feina. acabo d'obrir http://trac.dbzteam.org/pyinotify, a veure que tal. en quant a tripware i similars, realemnt diuen qui ha tocat que? gràcies per les respostes! -- Arnau Bria http://blog.emergetux.net Bombing for peace is like fucking for virginity -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
El vie, 07-05-2010 a las 19:03 +0200, Ramiro Magallanes escribió: > El vie, 07-05-2010 a las 13:06 +0200, Arnau Bria escribió: > > > algú coneix alguna eina que faci el que demano? > > Pues te iba a comentar con la boca bien grande que uses Pyinotify, que > trae un fichero de ejemplo muy bonico, pero va a ser que por algun > motivo que solo el monstruo del Spaghetti sabe, no va con lo que esta x > debajo de /dev ... xD > > Igualmente , para otros menesteres .. http://trac.dbzteam.org/pyinotify (Alguien conoce el BUG de Evolution del "envio sin querer"?) El codigo archisimplon, aqui: import pyinotify wm = pyinotify.WatchManager() # Watch Manager mask = pyinotify.IN_ATTRIB # watched events class HandleEvents(pyinotify.ProcessEvent): def process_IN_ATTRIB(self, event): print "Atributo:", event.pathname #log.setLevel(10) p = HandleEvents() notifier = pyinotify.Notifier(wm, p) wdd = wm.add_watch('/dev/null', mask, rec=True) notifier.loop() Slds! -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
El vie, 07-05-2010 a las 19:03 +0200, Ramiro Magallanes escribió: > El vie, 07-05-2010 a las 13:06 +0200, Arnau Bria escribió: > > > algú coneix alguna eina que faci el que demano? > > Pues te iba a comentar con la boca bien grande que uses Pyinotify, que > trae un fichero de ejemplo muy bonico, pero va a ser que por algun > motivo que solo el monstruo del Spaghetti sabe, no va con lo que esta x > debajo de /dev ... xD > > Igualmente , para otros menesteres .. http://trac.dbzteam.org/pyinotify Miento , si que funciona! (aunque todavia no lo he probado en profundidad) En su dia cuando mire el codigo de ejemplo , realice mal unas modificaciones y era por eso que no funciona :-P -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
Bones, Sense arribar al nivell d'un IDS, ¿has mirat que no et serveixi algún sistema de monitorització rotllo tripwire/bsign/systraq/integrit/diffmon...? Salut, -- jors El vie, 07-05-2010 a las 13:06 +0200, Arnau Bria escribió: > Hola a tots, > > tinc una màquian on, de tant en tant, els permisos de /dev/null canvin. > i no n omés els permissos sinó que passa a ser un fitxer buit: > > # ls -lsa /dev/null > root root 0 May 7 12:39 /dev/null > > ja us podeu imaginar que suposa aquest canvi. > > ara estic buscant alguna eina que em monitoritzi l'accés aa quest > fitxer i, sobretot, qui canvia els permisos. > > estava mirant inotify, pero, a pesar de que em diu els accessos i > lesmodificacions, no veig que em digui qui els fa ni que fa. > > algú coneix alguna eina que faci el que demano? > > gràcies! > > -- > Arnau Bria > http://blog.emergetux.net > Bombing for peace is like fucking for virginity > -- > ___ > Comandob mailing list > Comandob@badopi.org > http://lists.badopi.org/mailman/listinfo/comandob -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
Re: [Comandob] monitoring d'un file
El vie, 07-05-2010 a las 13:06 +0200, Arnau Bria escribió: > algú coneix alguna eina que faci el que demano? Pues te iba a comentar con la boca bien grande que uses Pyinotify, que trae un fichero de ejemplo muy bonico, pero va a ser que por algun motivo que solo el monstruo del Spaghetti sabe, no va con lo que esta x debajo de /dev ... xD Igualmente , para otros menesteres .. http://trac.dbzteam.org/pyinotify Slds! -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob
[Comandob] monitoring d'un file
Hola a tots, tinc una màquian on, de tant en tant, els permisos de /dev/null canvin. i no n omés els permissos sinó que passa a ser un fitxer buit: # ls -lsa /dev/null root root 0 May 7 12:39 /dev/null ja us podeu imaginar que suposa aquest canvi. ara estic buscant alguna eina que em monitoritzi l'accés aa quest fitxer i, sobretot, qui canvia els permisos. estava mirant inotify, pero, a pesar de que em diu els accessos i lesmodificacions, no veig que em digui qui els fa ni que fa. algú coneix alguna eina que faci el que demano? gràcies! -- Arnau Bria http://blog.emergetux.net Bombing for peace is like fucking for virginity -- ___ Comandob mailing list Comandob@badopi.org http://lists.badopi.org/mailman/listinfo/comandob