LINUX.ORG.RU
решено ФорумGeneral

Acl, логирование попыток доступа


0

1

привет.

по мотиву вчерашней темы(которая была успешно удалена обиженными).

интересует, ведет ли Acl лог о попытках доступа к файлам/директориям, для которых у юзера нет прав?

благодарен.

★★★
XRDP без панели слева
KTorrent - отправить патч
Ответ на: комментарий от hizel

Зачем, если можно получить халявный ответ не напрягаясь?

anonymous
()

интересует, ведет ли Acl лог о попытках доступа к файлам/директориям, для которых у юзера нет прав?

нет, и не должна. ACL это Access Control Lists, т.е. списки контроля доступа. При чём тут лог? Приложение получит свой EACCES, и все дела.

drBatty ★★
()
Ответ на: комментарий от drBatty

Приложение получит свой EACCES, и все дела.

но Acl устанавливает и настраивает админ. ему-то нужно знать, о попытках, когда юзеры пытаются получить доступ к запрещенному.

ну, или, представь, ты установил и настроил Acl для некоторого юзера. после этого, у юзера перестал работать опенофис. твои действия? «методом тыка» будешь отменять все ограничения пока опенофис не заработает?

даже звучит бредово %)

niXman ★★★
() автор топика
Последнее исправление: niXman (всего исправлений: 1)
Ответ на: комментарий от niXman

ну, или, представь, ты установил и настроил Acl для некоторого юзера. после этого, у юзера перестал работать опенофис.

Т.е. ты установил свои права доступа на /usr/bin/openoffice* ?

Мои действия: вызову тебе бригаду психиатров.

anonymous
()
Ответ на: комментарий от anonymous

Т.е. ты установил свои права доступа на /usr/bin/openoffice* ?

не все, столь ограниченны в вариациях мышления и принятия решений.

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

но Acl устанавливает и настраивает админ. ему-то нужно знать, о попытках, когда юзеры пытаются получить доступ к запрещенному.

настраивает админ, а работают приложения. У ядра просто нет времени и возможности куда-то там что-то писать. Это как забор. Должен забор следить за попытками доступа? Ну если должен, повесь на свой забор камеру, и приставь охранника, который эту камеру будет мониторить.

ну, или, представь, ты установил и настроил Acl для некоторого юзера. после этого, у юзера перестал работать опенофис. твои действия? «методом тыка» будешь отменять все ограничения пока опенофис не заработает?

вообще-то опенофис не должен «просто так сломаться», он должен выкинуть табличку: «хочу читать/писать файл XYZ, а не получается ибо EACCESS».

даже звучит бредово

ага. Послал ты таджика на охраняемый объект, а его там охранники побили. Ну не понял он той простой вещи, что пропуск надо предъявить. По твоему, охранники тебе должны были позвонить? Да они про тебя и не знают. И про то, что доступ дал - не знают. И пропуск у таджика есть, но они об этом тоже не знают. И кто виноват?

drBatty ★★
()
Ответ на: комментарий от niXman

говорит, что нет такого мана. audit, это из какого пакета?

он наверное имеет ввиду саму процедуру аудита, которая вообще говоря к POSIX ACL НЕ относится. Т.е. в одну кучу не нужно это всё мешать.

drBatty ★★
()
Ответ на: комментарий от drBatty

от части я с вами согласен.. но:

он должен выкинуть табличку: «хочу читать/писать файл XYZ, а не получается ибо EACCESS»

наткнулся недавно на прогу, которая перестала работать, ибо не могла прочесть '/sys/devices/system/cpu/online'. и при этом она совершенно ничего не говорила.

только пожалуйста, не спрашивайте, для чего я запретил чтение этого файла. есть на то причины, как и есть весьма пытливые юзеры, и не ограниченные, как типок выше :)

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

наткнулся недавно на прогу, которая перестала работать, ибо не могла прочесть '/sys/devices/system/cpu/online'. и при этом она совершенно ничего не говорила.

это потому-что у тебя фантазия. Только ты мог додуматься до того, что-бы закрыть этот файл. Разработчик не рассчитывал на админов-фантазёров. Извини. Запости ему багрепорт.

только пожалуйста, не спрашивайте, для чего я запретил чтение этого файла. есть на то причины, как и есть весьма пытливые юзеры, и не ограниченные, как типок выше

не буду спрашивать, ибо и так знаю: решил побаловаться, чё-то запретить. Запретил. Сломал. Молодец.

Теперь наверное ты знаешь о том, что запрещать всё подряд - не самая лучшая идея.

drBatty ★★
()
Ответ на: комментарий от niXman

значит лога таки нет.

нет. ACL — просто забор. Сторожевых псов и охранников с пулемётами на вышках там нет. Нет даже карт с девочками.

всем спасибо, вопрос закрыт.

ссылку дашь на удалённую тему?

drBatty ★★
()
Ответ на: комментарий от drBatty

ссылку дашь на удалённую тему?

где ж мне взять ссылку, если темы больше нет? ее даже в моем профиле нет. подчистили.

niXman ★★★
() автор топика
Ответ на: комментарий от niXman

значит, вам виднее. ок.

лично мне совершенно непонятно, _зачем_ этот online от кого-то закрывать?

где ж мне взять ссылку, если темы больше нет? ее даже в моем профиле нет. подчистили.

жаль…

drBatty ★★
()
Ответ на: комментарий от niXman

http://linux.die.net/man/8/auditd

http://people.redhat.com/sgrubb/audit/

Или можно просто запускать программу под трассировщиком (strace) и смотреть результаты системных вызовов.

Но, учите, что с одной стороны, библиотеки пытаются прочитать кучу разных файлов, то есть от них идёт куча вызовов open() на несущетвующие файлы и это нормально. А с другой стороны, приложение может не сразу делать open() на файл, а сначала узнавать права через access() и поменять своё поведение.

В огромной куче файлов к которым было open()/access() очень проблематично понять, каких именно прав не хватает.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
XRDP без панели слева
General
KTorrent - отправить патч