LINUX.ORG.RU
ФорумAdmin

Узнать кто или что удаляет файл

 , ,


0

2

Здравствуйте, подскажите такую штуку, на сервере (centos) постоянно пропадает один файл. Поставил inotify для отслеживания. Видно что в 5 утра файл был перемещен, скорее всего cron какой-то, но не могу понять, как определить что это за крон, то есть inotify показывает мне что файл был перемещен, но куда и кем непонятно, кронов в системе очень много просматривать и изучать каждый кронтаб - не вариант, есть ли способ узнать, кто или что перемещает этот файл и куда?

chattr +i на файл, и смотреть по логам, что не выполнилось

anonymous ()

просматривать и изучать каждый кронтаб - не вариант

Это плохо, ибо получается машина вами командует, а не вы ей.

vodz ★★★★★ ()
Ответ на: комментарий от vodz

Ну я имел ввиду, что может есть какй-то способ автоматизировать, поиск такой информации, думаю вариант с chattr +i вполне подойдет

vova3261 ()
Ответ на: комментарий от vova3261

поиск такой информации, думаю вариант с chattr +i вполне подойдет

Это решение из серии: в метро приникают зайцами, а давайте забетонируем вход и не будут проникать.

Завтра вдруг обнаружится, что раз в три месяца пропадает ещё один файл, а через полгода - раз в год ещё один файл...

vodz ★★★★★ ()
Ответ на: комментарий от vova3261

Чище будет настроить auditd, он для этого и создан.

auditctl -a always,exit -S unlink -S unlinkat -S unlinkat2 \
-S rename -S renameat -S renameat2 -k delete -F path=путь_до_файла arch=b64
auditctl -a always,exit -S unlink -S unlinkat -S unlinkat2 \
-S rename -S renameat -S renameat2 -k delete -F path=путь_до_файла arch=b32

zuzzas ()
Ответ на: комментарий от post-factum

systemtap

кхах, тут бывалые пятизвёздочники не знают что с ним делать, а ты сразу в прорубь Ж) так-то инструмент незаменимый, но auditd всё же более уместен будет в данном случае.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.