sslug-teknik team mailing list archive

Thread
Date

Re: erstatte /bin/rm

To: sslug-teknik@xxxxxxxx
From: Niels Elgaard Larsen <elgaard@xxxxxxx>
Date: Wed, 13 Apr 2005 23:43:16 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: KNode/0.8.2

Martin Møller Pedersen skrev:

> Hejsa,
>   Jeg overvejer at erstatte /bin/rm med et shell-script, der logger alle
>   kald af
> /bin/rm og bagefter udfører selven /bin/rm.

Du bliver nødt til at fortælle os hvad du vil opnå.
> F.x.
> #!/bin/sh
> echo >> /var/log/rm.log
> whoami >> /var/log/rm.log
> date >> /var/log/rm.log
> echo $* >> /var/log/rm.log
> /bin/rm.real $*
> 
> Men har jeg overset et eller andet ? 

Brugere kan skrive deres eget rm program eller have et rm-program på en
diskette. Eller de kan ødelægge filen på andre måder, fx 
        cat /dev/null > fil

Mange programmer, fjerner filer uden at kalde /bin/rm.

> Er det mon farligt / forkert ? 
> Er det andre og bedre løsninger ?
> 
> /var/log/rm.log skal selvfølgelig være skrivebar for alle.

Du kunne fjerne skriverettigheder til de filer du vil overvåge, sætte
gruppen til fx rmlog og have et setgid program der kan slette rmlog filer
og skrive i /var/log/rm som også har gid rmlog.

-- 
Niels Elgaard Larsen
elgaard@xxxxxxxx

References

erstatte /bin/rm
From: Martin Møller Pedersen, 2005-04-13