<![CDATA[Latest posts for the topic "[Thảo luận] Ai là người cuối cùng tác động đến 1 file?"]]> /hvaonline/posts/list/24.html JForum - http://www.jforum.net [Thảo luận] Ai là người cuối cùng tác động đến 1 file? /hvaonline/posts/list/21789.html#129597 /hvaonline/posts/list/21789.html#129597 GMT Re: [Thảo luận] Ai là người cuối cùng tác động đến 1 file? /hvaonline/posts/list/21789.html#129661 /hvaonline/posts/list/21789.html#129661 GMT [Thảo luận] Ai là người cuối cùng tác động đến 1 file?

quanta wrote:
Trong tình huống nào đó, bạn cần biết ai là người cuối cùng tác động (truy cập, sửa, thay đổi permissions ...) đến một file. Với cả 2 trường hợp: + Trước đó bạn chưa có "dự phòng" gì cả + Bạn đã monitoring rồi Xin mời mọi người thảo luận để đưa ra những giải pháp. 
Trong *nix có lệnh ls , trong đó ở cột thứ 6 hay thứ 7 gì đó có ghi rõ thời gian thay đổi cuối cùng . Good luck]]>
/hvaonline/posts/list/21789.html#129664 /hvaonline/posts/list/21789.html#129664 GMT
[Thảo luận] Ai là người cuối cùng tác động đến 1 file?

tranduyninh wrote:
theo tui : mở đến file đó > view > choo detail... >đánh dấu chọn data accseed. 
Chỗ nào vậy bạn? Cho cái screenshot.

tranhuuphuoc wrote:

quanta wrote:
Trong tình huống nào đó, bạn cần biết ai là người cuối cùng tác động (truy cập, sửa, thay đổi permissions ...) đến một file. Với cả 2 trường hợp: + Trước đó bạn chưa có "dự phòng" gì cả + Bạn đã monitoring rồi Xin mời mọi người thảo luận để đưa ra những giải pháp. 
Trong *nix có lệnh ls , trong đó ở cột thứ 6 hay thứ 7 gì đó có ghi rõ thời gian thay đổi cuối cùng . Good luck 
Ai chứ không phải là thời điểm anh à.]]>
/hvaonline/posts/list/21789.html#129703 /hvaonline/posts/list/21789.html#129703 GMT
[Thảo luận] Ai là người cuối cùng tác động đến 1 file?

quanta wrote:
Lưu ý: + thường chỉ nói tới các file cấu hình (Plain text) + bạn có quyền root

tranduyninh wrote:
theo tui : mở đến file đó > view > choo detail... >đánh dấu chọn data accseed. 
Chỗ nào vậy bạn? Cho cái screenshot.

tranhuuphuoc wrote:

quanta wrote:
Trong tình huống nào đó, bạn cần biết ai là người cuối cùng tác động (truy cập, sửa, thay đổi permissions ...) đến một file. Với cả 2 trường hợp: + Trước đó bạn chưa có "dự phòng" gì cả + Bạn đã monitoring rồi Xin mời mọi người thảo luận để đưa ra những giải pháp. 
Trong *nix có lệnh ls , trong đó ở cột thứ 6 hay thứ 7 gì đó có ghi rõ thời gian thay đổi cuối cùng . Good luck 
Ai chứ không phải là thời điểm anh à. 
chắc ý anh ý là từ thời gian rồi phán đoán ra người đó anh, em nghĩ nếu không dự phòng trước thì chỉ có thông tin này làm căn cứ.]]>
/hvaonline/posts/list/21789.html#129739 /hvaonline/posts/list/21789.html#129739 GMT
Re: [Thảo luận] Ai là người cuối cùng tác động đến 1 file? Tripwire để giám sát sự thay đổi trên hệ thống ví dụ như attacker xâm nhập thành công vào server mà anh đang nắm thì nhờ Tripwire anh có thể kiểm tra được attacker đang làm việc gì trên server của mình và theo anh biết nó là công cụ good nhất để giải quyết bài toán của em . Good luck]]> /hvaonline/posts/list/21789.html#129760 /hvaonline/posts/list/21789.html#129760 GMT [Thảo luận] Ai là người cuối cùng tác động đến 1 file?

secmask wrote:

quanta wrote:

tranhuuphuoc wrote:
Trong *nix có lệnh ls , trong đó ở cột thứ 6 hay thứ 7 gì đó có ghi rõ thời gian thay đổi cuối cùng . Good luck 
Ai chứ không phải là thời điểm anh à. 
chắc ý anh ý là từ thời gian rồi phán đoán ra người đó anh, em nghĩ nếu không dự phòng trước thì chỉ có thông tin này làm căn cứ. 
Còn .bash_history (nếu họ chưa xóa), còn last command mà em. Giải pháp sơ bộ sẽ là: + Dùng ls xem thời điểm cuối cùng file đó bị thay đổi + Dùng last xem những ai logged in trong khoảng thời gian đó + View .bash_history của họ xem có "đụng chạm" gì đến file đó không. Có thể viết 1 đoạn script để làm việc này (nếu trong khoảng thời gian đó có quá nhiều người logged in): Code:
#!/bin/bash
if [ $# -eq 0 ]
then
        echo 1>&2 "Usage: $0 <file_name>"
        exit 127
else
        for USER in `ls /home`
        do
                if [ -f /home/$USER/.bash_history ]
                then
                        if [ `grep $1 /home/$USER/.bash_history | wc -l` != 0 ]
                        then
                                echo $USER:
                                grep $1 /home/$USER/.bash_history | sed -e "s/^/\t/"
                        fi
                fi
        done
fi
Mời mọi người nghĩ tiếp những cách khác, để đem lại kết quả với độ chính xác cao nhất có thể. ]]>
/hvaonline/posts/list/21789.html#129825 /hvaonline/posts/list/21789.html#129825 GMT
Re: [Thảo luận] Ai là người cuối cùng tác động đến 1 file? /hvaonline/posts/list/21789.html#129828 /hvaonline/posts/list/21789.html#129828 GMT Re: [Thảo luận] Ai là người cuối cùng tác động đến 1 file? /hvaonline/posts/list/21789.html#129920 /hvaonline/posts/list/21789.html#129920 GMT Re: [Thảo luận] Ai là người cuối cùng tác động đến 1 file? http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html, đáp ứng khá ngon yêu cầu trong trường hợp 2 (tức có chuẩn bị) của anh quanta. Trong bài giới thiệu http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html nó có ghi là:
Modern Linux kernel (2.6.x) comes with auditd daemon 
Mà sao Slackware chả thấy có sẵn, phải cài thêm :D. Cài vô, cứ để con ma này chạy nền :D. Thích nó ám file nào, làm phát: Code:
auditctl -w /etc/passwd -p war
Khi nào muốn nhòm ngó thì làm phát: Code:
ausearch -f /etc/passwd -i | less
-:-) PS: À, hình như đoạn mã của anh quanta chưa đụng đến cái ý thứ 2 "Dùng last xem những ai logged in trong khoảng thời gian đó" mà chỉ quét tất cả user có thư mục trong /home?]]>
/hvaonline/posts/list/21789.html#130107 /hvaonline/posts/list/21789.html#130107 GMT
Re: [Thảo luận] Ai là người cuối cùng tác động đến 1 file?

lihavim wrote:
Em mới kiếm được 1 thằng http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html, đáp ứng khá ngon yêu cầu của anh quanta. Trong bài giới thiệu http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html nó có ghi là:
Modern Linux kernel (2.6.x) comes with auditd daemon 
Mà sao Slackware chả thấy có sẵn, phải cài thêm :D. Cài vô, cứ để con ma này chạy nền :D. Thích nó ám file nào, làm phát: Code:
auditctl -w /etc/passwd -p war
Khi nào muốn nhòm ngó thì làm phát: Code:
ausearch -f /etc/passwd -i | less
-:-)  
Cảm ơn lihavim, kết hợp từ một tình huống gặp phải cộng với sau khi đọc bài viết đó, tớ mới lập cái topic này mà.]]>
/hvaonline/posts/list/21789.html#130108 /hvaonline/posts/list/21789.html#130108 GMT
Re: [Thảo luận] Ai là người cuối cùng tác động đến 1 file? Code:
# yum install audit
sau đó Code:
# chkconfig auditd on
cho nó Auto start Code:
# /etc/init.d/auditd start
để start nó sau đó muốn monitor file /etc/passwd thì Code:
# auditctl -w /etc/passwd -p war
Hoàn toàn là bắt chước lihavim nhưng ở http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html có thêm option Code:
-k password-file
Giải thích -k password-file : Set a filter key on a /etc/passwd file (watch). The password-file is a filterkey (string of text that can be up to 31 bytes long). It can uniquely identify the audit records produced by the watch. You need to use password-file string or phrase while searching audit logs. Thêm nữa, muốn monitor file /etc/shadow thì dùng Code:
# auditctl -w /etc/shadow -k shadow-file -p rwxa
Ai giải thích hộ em cách dùng các option -k password-file-k shadow-file này, set filter key để làm gì? Chỉ dùng để search ...cho nhanh thôi à :-/ . Và string này lấy đâu ra? hay chỉ cho đại một dòng gì đó vào, nhớ sau đó dùng string này để search log? ]]>
/hvaonline/posts/list/21789.html#130123 /hvaonline/posts/list/21789.html#130123 GMT
Re: [Thảo luận] Ai là người cuối cùng tác động đến 1 file?

mR.Bi wrote:
... Ai giải thích hộ em cách dùng các option -k password-file-k shadow-file này, set filter key để làm gì? Chỉ dùng để search ...cho nhanh thôi à :-/. Và string này lấy đâu ra? hay chỉ cho đại một dòng gì đó vào, nhớ sau đó dùng string này để search log?  
Bạn hoàn toàn có thể đọc man page:
-k key: Set a filter key on an audit rule. The filter key is an arbitrary string of text that can be up to 31 bytes long. It can uniquely identify the audit records produced by a rule. Typical use is for when you have several rules that together satisfy a security requirement. The key value can be searched on with ausearch so that no matter which rule triggered the event, you can find its results. The key can also be used on delete all (-D) and list rules (-l) to select rules with a specific key. You may have more than one key on a rule if you want to be able to search logged events in multiple ways or if you have an audispd plugin that uses a key to aid its analysis.  
Với ví dụ trên, bạn thử # ausearch -k shadow-file xem sao. ]]>
/hvaonline/posts/list/21789.html#130124 /hvaonline/posts/list/21789.html#130124 GMT