Schönen guten Morgen.

Ich nutze eine SuSE 9.2 und bräuchte eine Möglichkeit ein Verzeichnis und alle darin enthaltenen Dateien zu überwachen.
Wichtig ist, dass der lesende Zugriff auf das Verzeichniss, am besten per Mail, gemeldet wird.
Wegen diesem Punkt bin ich mit den meisten IDS gescheitert.

Hat jemand eine Idee wie man das realisieren könnte?


Danke.

Hallo,

meinst Du soetwas wie famd (File Alteration Monitor daemon)? Für das Event FAMChanged steht in der 'man page' da:


Some value which can be obtained with fstat changed for a file or directory being monitored.

Dazu gehört dann wohl auch 'atime', allerdings mit einer Einschränkung (man fstat):


Not all of the Linux filesystems implement all of the time fields. Some file system types allow mounting in such a way that
file accesses do not cause an update of the st_atime field. (See `noatime' in mount(8).)

The field st_atime is changed by file accesses, e.g. by execve(2), mknod(2), pipe(2), utime(2) and read(2) (of more than zero
bytes). Other routines, like mmap(2), may or may not update st_atime.


Was dann Dein Programm/Skript daraus macht, ist Deine Sache.

Robert

Hallo.

Ich habe mich mal in den famd eingelesen. Ist eigentlich schon die richtige Richtung, nur leider gibt ein stat nicht den user zurück der versucht hat auf das file oder das verzeichniss zuzugreifen.

Hintergrund ist folgender: Ich betreibe einen Mailserver mit mehreren Leuten die Root-Zugang haben, wobei ich gerne Informiert werden würde wenn jemand versucht sich meine Mails durchzulesen.

Natürlich könnte ich auch eine vollständige Userüberwachung machen, was ich aber wegen der Privatsphäre ablehne.

... da muss es doch was geben...

Aber danke schonmal.

Hintergrund ist folgender: Ich betreibe einen Mailserver mit mehreren Leuten die Root-Zugang haben, wobei ich gerne Informiert werden würde wenn jemand versucht sich meine Mails durchzulesen.

Da würden mir nur zwei Sachen einfallen:
Kein root-Rechte, sondern nur sudo und / oder SELinux

cu/2 iae

OK,

Du kannst natürlich die Rechte der Nutzer einschränken und ihnen sudo ermöglichen. Zum einen kann man gezielt Befehle erlauben und außerdem werden sudo-Aktivitäten mitgeloggt. (Doch dafür wird's bei Dir wohl schon zu spät sein, oder?)

Du kannst zum Beispiel über Access Control Lists die Rechte für Dateien/Verzeichnisse feiner einstufen. (Was wahrscheinlich wieder daran scheitert, daß alle denselben Root-Account nutzen ...).

Zurück zum ersten Vorschlag: famd. Da Dir eine selbstgebastelte Lösung ja reichen würde, kann ich Dir noch 'lsof' (list open files) als Ergänzung empfehlen.
Stell Dich mal mit einer Shell in das entsprechende Verzeichnis und ruf dann

lsof `pwd` auf. Das sollte Dir weiterhelfen...

Ein ganz anderer Ansatz (wahrscheinlich der einfachste) wäre, alle ankommenden Mails mit dem public-key des Addressaten zu verschlüsseln. (Das könnte natürlich von jedem Root-Nutzer temporär ausgehebelt werden.)

Fazit:
1. lsof & famd sagen erst Bescheid, wenn's schon zu spät ist.
2. Verschlüsselung ließe sich von jedem Berechtigten manipulieren, und "Berechtigte" gibt es bei Dir einfach zuviele - ergo ...
3. Rechte der Nutzer einschränken.

Robert

PS: Sag mal Bescheid, wenn Du Dich entschieden hast.