comment surveiller un fichier présent dans un repertoire

13/02/2007, 18h54

Bonjour à TOUS,

Comment surveiller efficacement un fichier présent dans un répertoire.

1/ Pour être informé dés sa suppression

3/ Pour savoir quand il a été supprimé

2/ Pour connaitre quel user l'a supprimé en utilisant quelle commande UNIX
ou script

Voici le script que j'ai écrit pour la surveillance de mon fichier.

#!bin/ksh

dateplus="date '+%a %d %h %y, %T'

# supprime.txt fichier qui reçoit les informations sur mon fichier
supprimé.

# toto.txt c'est le fichier à surveiller

cat $REPERTOIRE/toto.txt

if [ $? -ne 0 ]

then

echo "Le fichier toto.txt vient d'être SUPPRIME a $dateplus" >
supprime.txt

# Je crée la liste des process et user présent sur le serveur au moment de
la suppression de mon fichier

ps -edf >> supprime.txt

# J'envoie le fichier supprime.txt sous forme de mail

cat supprime.txt | mailx -s "Voici la liste des PROCESS et user sur
le serveur" mon_adresse@mail

exit 1

fi

echo "Le fichier toto.txt est PRESENT" > supprime.txt

exit 0

Mon problème est de savoir, dans la mesure du possible, quel user à
supprimer mon fichier avec quelle commande ou script.

Je n'arrive pas à exploiter le résultat de la commande "ps -edf"

Merci par avance à tous ceux qui vont m'aider à trouver une solution

guytou

13/02/2007, 21h48

Guytou wrote:

> Mon problème est de savoir, dans la mesure du possible, quel user à
> supprimer mon fichier avec quelle commande ou script.

Si le user lambda peut effacer les fichiers du user alpha, c'est grave !
Si un user basique a supprimé ton noyau, c'est très grave !!!

13/02/2007, 23h00

Guytou wrote:

> Mon problème est de savoir, dans la mesure du possible, quel user à
> supprimer mon fichier avec quelle commande ou script.

Est-ce que si l'effacement est effectué via un "echo '' > fichier" ça doit
aussi etre comptabilisé?

14/02/2007, 04h08

> Est-ce que si l'effacement est effectué via un "echo '' > fichier" ça doit
> aussi etre comptabilisé?

Bonjour à Tous,
Bonjour Mihamina

OUI, j'aimerai dans la mesure du possible que tout type d'effacement soit
comptabilisé.
Le but est de savoir qui a supprimé et avec quelle commande ou script.

Merci de votre participation.

GUYTOU

"Rakotomandimby (R12y) Mihamina"
<mihamina.rakotomandimby@etu.univ-orleans.fr> a écrit dans le message de
news: eqtfs3$2k0g$4@cabale.usenet-fr.net...
> Guytou wrote:
>
>> Mon problème est de savoir, dans la mesure du possible, quel user à
>> supprimer mon fichier avec quelle commande ou script.
>
> Est-ce que si l'effacement est effectué via un "echo '' > fichier" ça doit
> aussi etre comptabilisé?

14/02/2007, 04h32

"Guytou" <mapasa@free.fr> writes:
> OUI, j'aimerai dans la mesure du possible que tout type d'effacement soit
> comptabilisé.
> Le but est de savoir qui a supprimé et avec quelle commande ou script.

Il y a le "process accounting" qui "comptabilise" toutes les commandes
exécutées sur un système unix, mais en général, ça ne garde pas trace
des arguments, alors on ne saurait pas quel argument a été donné à
rm(1) et de toutes façons, on peut supprimer des fichiers avec à peu
près n'importe quel programme...

Donc, le plus fiable serait de "patcher" le noyau. Sur Linux, il est
possible qu'il y ait une version du noyau ou au moins un file system
qui garde trace (audit) de ce genre d'information. Voir peut être,
SELinux http://www.nsa.gov/selinux/ ou googled sur Linux audit trail
il y a peut être quelque chose déjà fait dans ce domaine.

--
__Pascal Bourguignon__ http://www.informatimago.com/

HEALTH WARNING: Care should be taken when lifting this product,
since its mass, and thus its weight, is dependent on its velocity
relative to the user.

14/02/2007, 07h03

"Guytou" <mapasa@free.fr> writes:

> Comment surveiller efficacement un fichier présent dans un répertoire.
>
> 1/ Pour être informé dés sa suppression
> 3/ Pour savoir quand il a été supprimé

Si c'est sous Linux, il y a inotify(7).

> 2/ Pour connaitre quel user l'a supprimé en utilisant quelle
> commande UNIX ou script

Ca, ça me semble sans espoir...

> # Je crée la liste des process et user présent sur le serveur au
> moment de la suppression de mon fichier
> ps -edf >> supprime.txt

:-) J'espère que tu ne comptes pas trop là-dessus. Sinon, tu peux
regarder du coté de utmp et wtmp.

-- Alain.

14/02/2007, 09h38

Pascal Bourguignon a écrit :
> Donc, le plus fiable serait de "patcher" le noyau. Sur Linux, il est
> possible qu'il y ait une version du noyau ou au moins un file system
> qui garde trace (audit) de ce genre d'information.

Il doit même être possible d'écrire un système de fichiers fuse qui rajoute
ça par-dessus n'importe quel système de fichiers normal, non?

--
Marc Mezzarobba

14/02/2007, 11h34

Dans l'article <eqtbm6$m55$1@gyptis.org>,
LinuxKiller <linuxfucker@linuxkiller.labas.org> écrit:

> Si le user lambda peut effacer les fichiers du user alpha, c'est grave !

Je ne vois pas le problème. C'est bien utile sur des répertoires
partagés (genre site web maintenu à plusieurs). Ça évite, quand
alpha n'est pas là, de se retrouver bloqué avec un truc à modifier
d'urgence (et ça évite de créer un utilisateur spécialisé pour
cela).

> Si un user basique a supprimé ton noyau, c'est très grave !!!

Là, c'est autre chose...

--
Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/>
100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/>
Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

13/02/2007, 18h54	#1
Guytou Messages: n/a Hébergeur:	comment surveiller un fichier présent dans un repertoire Bonjour à TOUS, Comment surveiller efficacement un fichier présent dans un répertoire. 1/ Pour être informé dés sa suppression 3/ Pour savoir quand il a été supprimé 2/ Pour connaitre quel user l'a supprimé en utilisant quelle commande UNIX ou script Voici le script que j'ai écrit pour la surveillance de mon fichier. #!bin/ksh dateplus="date '+%a %d %h %y, %T' # supprime.txt fichier qui reçoit les informations sur mon fichier supprimé. # toto.txt c'est le fichier à surveiller cat $REPERTOIRE/toto.txt if [ $? -ne 0 ] then echo "Le fichier toto.txt vient d'être SUPPRIME a $dateplus" > supprime.txt # Je crée la liste des process et user présent sur le serveur au moment de la suppression de mon fichier ps -edf >> supprime.txt # J'envoie le fichier supprime.txt sous forme de mail cat supprime.txt \| mailx -s "Voici la liste des PROCESS et user sur le serveur" mon_adresse@mail exit 1 fi echo "Le fichier toto.txt est PRESENT" > supprime.txt exit 0 Mon problème est de savoir, dans la mesure du possible, quel user à supprimer mon fichier avec quelle commande ou script. Je n'arrive pas à exploiter le résultat de la commande "ps -edf" Merci par avance à tous ceux qui vont m'aider à trouver une solution guytou

13/02/2007, 21h48	#2
LinuxKiller Messages: n/a Hébergeur:	Re: comment surveiller un fichier présent dans un repertoire Guytou wrote: > Mon problème est de savoir, dans la mesure du possible, quel user à > supprimer mon fichier avec quelle commande ou script. Si le user lambda peut effacer les fichiers du user alpha, c'est grave ! Si un user basique a supprimé ton noyau, c'est très grave !!!

13/02/2007, 23h00	#3
Rakotomandimby (R12y) Mihamina Messages: n/a Hébergeur:	Re: comment surveiller un fichier présent dans un repertoire Guytou wrote: > Mon problème est de savoir, dans la mesure du possible, quel user à > supprimer mon fichier avec quelle commande ou script. Est-ce que si l'effacement est effectué via un "echo '' > fichier" ça doit aussi etre comptabilisé?

14/02/2007, 04h08	#4
Guytou Messages: n/a Hébergeur:	Re: comment surveiller un fichier présent dans un repertoire > Est-ce que si l'effacement est effectué via un "echo '' > fichier" ça doit > aussi etre comptabilisé? Bonjour à Tous, Bonjour Mihamina OUI, j'aimerai dans la mesure du possible que tout type d'effacement soit comptabilisé. Le but est de savoir qui a supprimé et avec quelle commande ou script. Merci de votre participation. GUYTOU "Rakotomandimby (R12y) Mihamina" <mihamina.rakotomandimby@etu.univ-orleans.fr> a écrit dans le message de news: eqtfs3$2k0g$4@cabale.usenet-fr.net... > Guytou wrote: > >> Mon problème est de savoir, dans la mesure du possible, quel user à >> supprimer mon fichier avec quelle commande ou script. > > Est-ce que si l'effacement est effectué via un "echo '' > fichier" ça doit > aussi etre comptabilisé?

14/02/2007, 04h32	#5
Pascal Bourguignon Messages: n/a Hébergeur:	Re: comment surveiller un fichier présent dansun repertoire "Guytou" <mapasa@free.fr> writes: > OUI, j'aimerai dans la mesure du possible que tout type d'effacement soit > comptabilisé. > Le but est de savoir qui a supprimé et avec quelle commande ou script. Il y a le "process accounting" qui "comptabilise" toutes les commandes exécutées sur un système unix, mais en général, ça ne garde pas trace des arguments, alors on ne saurait pas quel argument a été donné à rm(1) et de toutes façons, on peut supprimer des fichiers avec à peu près n'importe quel programme... Donc, le plus fiable serait de "patcher" le noyau. Sur Linux, il est possible qu'il y ait une version du noyau ou au moins un file system qui garde trace (audit) de ce genre d'information. Voir peut être, SELinux http://www.nsa.gov/selinux/ ou googled sur Linux audit trail il y a peut être quelque chose déjà fait dans ce domaine. -- __Pascal Bourguignon__ http://www.informatimago.com/ HEALTH WARNING: Care should be taken when lifting this product, since its mass, and thus its weight, is dependent on its velocity relative to the user.

14/02/2007, 07h03	#6
Alain Ketterlin Messages: n/a Hébergeur:	Re: comment surveiller un fichier présent dans un repertoire "Guytou" <mapasa@free.fr> writes: > Comment surveiller efficacement un fichier présent dans un répertoire. > > 1/ Pour être informé dés sa suppression > 3/ Pour savoir quand il a été supprimé Si c'est sous Linux, il y a inotify(7). > 2/ Pour connaitre quel user l'a supprimé en utilisant quelle > commande UNIX ou script Ca, ça me semble sans espoir... > # Je crée la liste des process et user présent sur le serveur au > moment de la suppression de mon fichier > ps -edf >> supprime.txt :-) J'espère que tu ne comptes pas trop là-dessus. Sinon, tu peux regarder du coté de utmp et wtmp. -- Alain.

14/02/2007, 09h38	#7
Marc Mezzarobba Messages: n/a Hébergeur:	Re: comment surveiller un fichier présent dans un repertoire Pascal Bourguignon a écrit : > Donc, le plus fiable serait de "patcher" le noyau. Sur Linux, il est > possible qu'il y ait une version du noyau ou au moins un file system > qui garde trace (audit) de ce genre d'information. Il doit même être possible d'écrire un système de fichiers fuse qui rajoute ça par-dessus n'importe quel système de fichiers normal, non? -- Marc Mezzarobba

14/02/2007, 11h34	#8
Vincent Lefevre Messages: n/a Hébergeur:	Re: comment surveiller un fichier présent dans un repertoire Dans l'article <eqtbm6$m55$1@gyptis.org>, LinuxKiller <linuxfucker@linuxkiller.labas.org> écrit: > Si le user lambda peut effacer les fichiers du user alpha, c'est grave ! Je ne vois pas le problème. C'est bien utile sur des répertoires partagés (genre site web maintenu à plusieurs). Ça évite, quand alpha n'est pas là, de se retrouver bloqué avec un truc à modifier d'urgence (et ça évite de créer un utilisateur spécialisé pour cela). > Si un user basique a supprimé ton noyau, c'est très grave !!! Là, c'est autre chose... -- Vincent Lefèvre <vincent@vinc17.org> - Web: <http://www.vinc17.org/> 100% accessible validated (X)HTML - Blog: <http://www.vinc17.org/blog/> Work: CR INRIA - computer arithmetic / Arenaire project (LIP, ENS-Lyon)

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email