ある時点でファイルを変更しているように見える(複雑な)スクリプトを実行しています。スクリプト/プログラムが書き込み、chmod、chown、または私が同意しない他の操作を試みたときに警告を受けたいと思います。プログラムがファイルシステムの残りの部分に正常にアクセスできることを願っています。
アクセスを拒否するのは解決策ですが、スクリプトを root として実行する必要があるため動作しません。このスクリプトはすべてのアクセス制御設定を上書きできます。ルート以外のユーザーとしてスクリプトを実行できてもアクセスが失敗した場合、スクリプトは別のブランチを使用することを決定できます。そのため、アクセス拒否の代わりにアクセス警告を優先します。ソリューション(例:SE Linux)はありますか?
ベストアンサー1
これを行う方法はいくつかあります。
審査
次のコマンドを使用して、ファイルの auditd モニタリングをイネーブルにします(auditdサービスが実行中であることを確認した後)。
auditctl -a 終了、常に -F パス=/パス/to/ファイル
/var/log/audit/audit.log次に、何が起こっているかを確認してください。
完了したら、次のコマンドを使用してルールを削除します。
auditctl -d 終了、常に -F パス=/パス/to/ファイル
ファン通知
fanotifyは、ウイルススキャナ用に特別に設計されたシステムです。これにより、他のプログラムがファイルを開くと、あるプログラムがイベント通知を受け取ることができます。その後、モニタープログラムはファイルへのアクセスを拒否したり、単にファイルを記録したりするなどの操作を実行できます。ここの利点はウォッチドッグは何もせずに単にイベントを待つことができるので、ファイルを開こうとするプログラムが遅れるだけです。。ウォッチドッグが続行を許可するまで失敗または成功しません。
しかし、このパスの問題は、fanotifyが新しいことであり、それにアクセスするために使用できる単純なコマンドラインユーティリティがないことです。独自のスクリプト(スクリプトライブラリにインタフェースがある場合)またはプログラムを作成する必要があります。