たとえば、user1 がファイルを生成します。このファイルの所有者はuser1です。 user2 がファイルの内容を変更して保存する場合。その後、ファイル所有者はuser2に変わります。可能ですか?できればどうでしょうか?
(Ubuntu 20.04)
答え1
回避策は何ですか...
私の考えは、既存のLinux監査サブシステムを使用することです。これは、2.6日以前のカーネルと比較して、最新のLinuxではすでにかなり優れており、ファイルに/etc/audit/audit.rules
カスタマイズできます。
あなたは使うでしょうより特徴より編集するファイルとフォルダを指定します。これはアイテムとして表示され、/var/log/audit/audit.log
次のように変更されることがあります。監査フィルタキー-k
監査モニタリングルールのオプション仕様に基づいて、いつ、誰によって発生したのかを正確に知ることができます。
これは今まで知ることができる信頼できる方法になります。ここでの秘密は、エントリaudit.log
が発生するたびにキューに入れ、実行を実行してchown
コマンドを実行することです。その後、与えられたファイル/フォルダが編集された後、どのくらいの頻度で発生する必要がありますか?このようなCプログラムをrootとして実行して1、5、または15分ごとに読み取るcronジョブが必要ですか? Linux監査を実行する方法があるかどうかわかりません。audit.log
chown
audit.log
実装するイベントキャプチャに基づくいくつかのコマンド(これが理想的な方法のようです)。
audit.rulesへのクイックリファレンス:https://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html
/etc/audit/audit.d/rules
rhel 7の主な例:
## First rule - delete all
-D
## Increase the buffers to survive stress events.
## Make this bigger for busy systems
# -b 8192
# set from 8k to 1mb
-b 1048576
# 2 is shutdown, 1 is runlevel 1
#
-f 2
-a always,exit -F arch=b32 -S execve -C uid!=euid -F euid=0 -k setuid
-a always,exit -F arch=b64 -S execve -C uid!=euid -F euid=0 -k setuid
-a always,exit -F arch=b32 -S execve -C gid!=egid -F egid=0 -k setgid
-a always,exit -F arch=b64 -S execve -C gid!=egid -F egid=0 -k setgid
-a always,exit -F arch=b32 -S chown -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b64 -S chown -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b32 -S chmod -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b64 -S chmod -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b32 -S setxattr -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b64 -S setxattr -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b32 -S open -F exit=-EPERM -F auid>=1000 -F auid!=unset -k access
-a always,exit -F arch=b32 -S open -F exit=-EACCES -F auid>=1000 -F auid!=unset -k access
-a always,exit -F arch=b64 -S open -F exit=-EPERM -F auid>=1000 -F auid!=unset -k access
-a always,exit -F arch=b64 -S open -F exit=-EACCES -F auid>=1000 -F auid!=unset -k access
-a always,exit -F path=/usr/sbin/semanage -F auid>=1000 -F auid!=unset -k privileged-priv_change
-a always,exit -F path=/usr/sbin/setsebool -F auid>=1000 -F auid!=unset -k privileged-priv_change
-a always,exit -F path=/usr/bin/chcon -F auid>=1000 -F auid!=unset -k privileged-priv_change
-a always,exit -F path=/usr/sbin/setfiles -F auid>=1000 -F auid!=unset -k privileged-priv_change
-w /var/run/faillock -p wa -k logins
-w /var/log/lastlog -p wa -k logins
-a always,exit -F path=/usr/bin/passwd -F auid>=1000 -F auid!=unset -k privileged-passwd
-a always,exit -F path=/usr/sbin/unix_chkpwd -F auid>=1000 -F auid!=unset -k privileged-passwd
-a always,exit -F path=/usr/bin/gpasswd -F auid>=1000 -F auid!=unset -k privileged-passwd
-a always,exit -F path=/usr/bin/chage -F auid>=1000 -F auid!=unset -k privileged-passwd
-a always,exit -F path=/usr/sbin/userhelper -F auid>=1000 -F auid!=unset -k privileged-passwd
-a always,exit -F path=/usr/bin/su -F auid>=1000 -F auid!=unset -k privileged-priv_change
-a always,exit -F path=/usr/bin/sudo -F auid>=1000 -F auid!=unset -k privileged-priv_change
-w /etc/sudoers -p wa -k privileged-actions
-w /etc/sudoers.d/ -p wa -k privileged-actions
-a always,exit -F path=/usr/bin/newgrp -F auid>=1000 -F auid!=unset -k privileged-priv_change
-a always,exit -F path=/usr/bin/chsh -F auid>=1000 -F auid!=unset -k privileged-priv_change
-a always,exit -F arch=b32 -S mount -F auid>=1000 -F auid!=unset -k privileged-mount
-a always,exit -F arch=b64 -S mount -F auid>=1000 -F auid!=unset -k privileged-mount
-a always,exit -F path=/usr/bin/mount -F auid>=1000 -F auid!=unset -k privileged-mount
-a always,exit -F path=/usr/bin/umount -F auid>=1000 -F auid!=unset -k privileged-mount
-a always,exit -F path=/usr/sbin/postdrop -F auid>=1000 -F auid!=unset -k privileged-postfix
-a always,exit -F path=/usr/sbin/postqueue -F auid>=1000 -F auid!=unset -k privileged-postfix
-a always,exit -F path=/usr/libexec/openssh/ssh-keysign -F auid>=1000 -F auid!=unset -k privileged-ssh
-a always,exit -F path=/usr/bin/crontab -F auid>=1000 -F auid!=unset -k privileged-cron
-a always,exit -F path=/usr/sbin/pam_timestamp_check -F auid>=1000 -F auid!=unset -k privileged-pam
-a always,exit -F arch=b32 -S create_module -k module-change
-a always,exit -F arch=b64 -S create_module -k module-change
-a always,exit -F arch=b32 -S init_module -k module-change
-a always,exit -F arch=b64 -S init_module -k module-change
-a always,exit -F arch=b32 -S delete_module -k module-change
-a always,exit -F arch=b64 -S delete_module -k module-change
-w /usr/bin/kmod -p x -F auid!=unset -k module-change
-w /etc/passwd -p wa -k identity
-w /etc/group -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
-a always,exit -F arch=b32 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b32 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b64 -S unlink,unlinkat,rename,renameat,rmdir -F auid>=1000 -F auid!=unset -k delete
-a always,exit -F arch=b32 -S init_module,finit_module -k modulechange
-a always,exit -F arch=b64 -S init_module,finit_module -k modulechange
-a always,exit -F arch=b32 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EPERM -F auid>=1000 -F auid!=unset -k access
-a always,exit -F arch=b32 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EACCES -F auid>=1000 -F auid!=unset -k access
-a always,exit -F arch=b64 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EPERM -F auid>=1000 -F auid!=unset -k access
-a always,exit -F arch=b64 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EACCES -F auid>=1000 -F auid!=unset -k access
-a always,exit -F arch=b32 -S setxattr,fsetxattr,lsetxattr,removexattr,fremovexattr,lremovexattr -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b64 -S setxattr,fsetxattr,lsetxattr,removexattr,fremovexattr,lremovexattr -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b32 -S chmod,fchmod,fchmodat -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b64 -S chmod,fchmod,fchmodat -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b32 -S chown,fchown,fchownat,lchown -F auid>=1000 -F auid!=unset -k perm_mod
-a always,exit -F arch=b64 -S chown,fchown,fchownat,lchown -F auid>=1000 -F auid!=unset -k perm_mod
答え2
技術的には可能です。fanotify
興味のあるファイルまたはディレクトリを監視し、観察されたイベントを処理し、各書き込みイベントのpidフィールドを読み取り、そのPIDの後ろにいるユーザーを見つけ、所有権ファイルを変更します。しかし、これを行うには、独自のプログラム(おそらくCで)を作成する必要があります。また、ファイルの書き込みパフォーマンスに深刻な影響を与える可能性があります。
また、Unixoidシステムの一般的なファイル使用とは一貫性がないと感じています。私はあなたが達成したいことを達成するために別の方法を見つけることをお勧めします。
答え3
ファイルを作成または変更する人に関係なく、ファイルの特定の所有者を設定するには、ディレクトリの「固定ビット」(「setuid」および「setgid」ビットとも呼ばれます)を参照できます。
それ以外の場合は、「sudoedit」が実行するのと同様に、ファイル編集メソッド呼び出しに所有権の変更を含めることができます。この方法は万能歯磨き粉ではありませんが、実装が簡単です。
ユーザーが関連ファイルを編集するためにいくつかの「編集」を使用しているとします。 「edit」バイナリを別の名前(例:「edit-bin」)に移動し、次のように「edit」スクリプトを作成します。
#! /bin/sh
local chUser=$(get_user)
local fTmp="${1}.$$"
/path/to/edit-bin "$1"
if ! diff "$1" "$fTmp" ; then
mv "$fTmp" "${1}"
chown "${chUser} ${1}
fi
exit 0
このスクリプトは基本的な例に過ぎず、ここで見逃したバックアップコピーのアーカイブやその他のセキュリティ対策を簡単に実装できます。本番スクリプトでは、終了コードを意味のあるものにすることもできます。また、ルートでスクリプトを実行する必要があります。つまり、シェルのエスケープを防ぐために "edit-bin" が必要な場合 (たとえば "vi" なし)、実際の UID に対してルートで "edit-bin" を実行する必要があることを意味します。 、ルートではありません。