Come scoprire chi sta eliminando i file su un server Linux?

Abbiamo un server Linux che è Ext4 e un altro server Linux che ha un ISCSI where i client Windows hanno cartelle condivise. Ho bisogno di

  1. Consenti agli utenti di modificare i file e non eliminarli. Un utente ha il permesso di modificare il contenuto, ma non può eliminare i file.
    1. Verifica tutte le operazioni di aggiunta / eliminazione / modifica di file in un formato inglese come il log.
    2. Invia avvisi se i tentativi vengono eseguiti per eliminare

  • Monitoraggio della networking PHP
  • Hyper-V - Nessun ipervisore su DELL PowerEdge R710
  • Saldatore di carico HTTP con routing basato su intestazione?
  • Come si interrompe Internet Explorer di monitorare la cronologia dei file aperti nelle altre applicazioni?
  • Cosa si fa per risolvere le autorizzazioni danneggiate o bloccate sulle condivisioni di file aziendali?
  • Aggiornamenti WSUS - Best Practice
  • Come aggiornare il file dell'host senza riavviare
  • Software per l'automazione di applicazioni Windows GUI
  • 4 Solutions collect form web for “Come scoprire chi sta eliminando i file su un server Linux?”

    Se i client di Windows stanno montando azioni Samba / CIFS, dovresti consultare il module full_audit.so per Samba.

    Samba: Registrazione di attività utente

    Samba – registro di controllo del file con full_audit

    Ricerca di Google – samba full_audit

    Consiglierei di verificare l' audithttp://people.redhat.com/sgrubb/audit/

    Può monitorare quasi tutto e tutto ciò che continua con il kernel – definisci le proprie regole per abbinare il tipo di attività di syscall che vorresti avere verificato.

    Check out inotify strumenti, o se sei un programmatore, si potrebbe rotolare il tuo che si adatta. Non è così difficile da fare; la parte più difficile è tenere traccia di tutte le sottodirectory e trattare con aggiunte / cancellazioni / ridenominazioni di directory.

    Ho programmi basati su inotify su alcuni dei miei server. Ad esempio, quello che memorizza i miei documenti privati ​​scansiti (bollette, ricevute e altri), ho un programma che guarda i nuovi file in una struttura di directory. Quando viene creato un nuovo documento, è immediatamente crittografato PGP (a less che il nuovo documento non sia crittografato pgp, ovviamente). Un altro programma simile, invia qualsiasi modifica in un particolare tree ad un altro server, lontano.

    Ho potuto vedere modificare uno di quelli per scrivere semplicemente su un file di controllo che potrebbe essere riveduto come necessario. La parte più difficile che vedo in questo modo è assicurarsi che il file di controllo non cresca troppo grande.

    Rivedo uno di questi per vedere se è pronto per la pubblica amministrazione. Se lo è, troverò un posto per condividerlo.

    Utilizza il module Perl Linux :: Inotify2 . Scrivere uno script Perl e tenerlo come un demone in esecuzione.

    È ansible tenere l'orologio in una determinata directory per i seguenti events:

     IN_ACCESS object was accessed IN_MODIFY object was modified IN_ATTRIB object metadata changed IN_CLOSE_WRITE writable fd to file / to object was closed IN_CLOSE_NOWRITE readonly fd to file / to object closed IN_OPEN object was opened IN_MOVED_FROM file was moved from this object (directory) IN_MOVED_TO file was moved to this object (directory) IN_CREATE file was created in this object (directory) IN_DELETE file was deleted from this object (directory) IN_DELETE_SELF object itself was deleted IN_MOVE_SELF object itself was moved IN_ALL_EVENTS all of the above events IN_ONESHOT only send event once IN_ONLYDIR only watch the path if it is a directory IN_DONT_FOLLOW don't follow a sym link IN_MASK_ADD not supported with the current version of this module IN_CLOSE same as IN_CLOSE_WRITE | IN_CLOSE_NOWRITE IN_MOVE same as IN_MOVED_FROM | IN_MOVED_TO 
    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.