Архив 17 Март 2012

Простой файловый аудит в Linux на основе inotify-tools

Суббота, 17 Март 2012

Иногда возникает задача быстро организовать простой файловый аудит на сервере для отслеживания изменения или удаления файлов на каком-нибудь из сайтов. Для решения подобной задачи хорошо подходит использование демона auditd. Тем не менее, иногда встречается ситуация, в которой использование auditd невозможно, т.к. поддержка системы аудита отключена в ядре, например при использовании OpenVZ ядер в Debian (2.6.32-5-openvz-amd64).

При попытке использовать auditd на такой системе, запуск или добавление правила ни к чему не приводят, например попытка включить auditd

root@somewhere:~# auditctl -e 2
возвращает сообщение The audit system is disabled, а в логах появляется следующая запись:

/var/log/audit/audit.log:
type=DAEMON_START msg=audit(1332003085.918:8717): auditd start, ver=1.7.13 format=raw kernel=2.6.32-5-openvz-amd64 auid=4294967295 pid=1788 res=success
type=DAEMON_ABORT msg=audit(1332003085.921:8718): auditd error halt, auid=4294967295 pid=1788 res=failed

В этом случае на помощь приходит пакет inotify-tools (Википедия)

(далее…)