Hi!
> Oliver Falk <oliver(a)linux-kernel.at> hat am 26. August 2013
um 15:52
> geschrieben:
> Mal so ne ganz doofe Frage: Wieso willst du dich vor 'root' schützen?
> Und glaubst du nicht, dass man jederzeit ein chattr -i machen könnte -
> als root?
Füllig richtig. Ich habe die absurde Situation, das irgend was oder irgend wer ständig die
installierten Files löscht. Ich konnte zwar das Zeitfenster bis auf eine 1/4 genau
ausmachen, aber ich konnte trotzdem nicht feststellen Wer oder Was da löscht.
Schon mal probiert in dieser Zeit alles abzudrehen (cron, puppet, usw.)?
Ich habe Cron-Jobs geprüft, Puppet, diverse Logs wie das von YUM und
Aktivitäten der Firewall geprüft. Ich habe es nicht herausgefunden. Das Einzigste was ich
herausgefunden habe ist, das sich das Löschen mit chattr verhindern lässt.
Ja. Du kannst es so verhindern, aber wirst eben nicht herausfinden wer oder was. Ich würde
ja am ehesten auf cron, puppet, tripwire und so tippen.
Was ich aktuell noch versuche ist was mit audit herauszubekommen.
Ja. Den richtigen Context setzen und auf das Event im audit.log warten ist eine
Möglichkeit. Die andere: inotify. Einfach googeln - ich bin mir sicher, dass es da was
fertiges gibt oder zumindest Beispielcode der sich wiederverwenden lässt. Ich bilde mir
ein ich hätte mal bei IBM einen brauchbaren Artikel gesehen.
LG,
Oliver