да тут не от хитрых юзерей, а от тупых скорее нужно что-то :)

т.е.? кто мне выплюнет в сыслог если у меня скажем /path/to/file грохнул uid=1005 ?

ну думаю да, это system event

чтобы было что ответить "я ничего не делал"

попробую конечно, но если запустить mc и прибить какой файл, думаю не словит..

даже не только мс, много способов как это обходится. Надо на уровне ОС делать а не юзерском.

докер ж )

auditd есть, но он избыточен, писать все ивенты на конкретную папку будет сильный оверхед

чтобы было что ответить "я ничего не делал"

osquery он удобнее auditd и всё что ты хочешь он умеет. Но как, это уже ты на хабре расскажешь.

докер ж )

хватит извращения советовать.

docker & syslog?

где извращение

docker & syslog?

сислог не извращение, но увы не рабочий вариант. А докер извращение из разряда бдсм

Ну значит надо искать причину почему не рабочий вариант )

Архитектура может не позволяет

докер не подходит

Ну значит надо искать причину почему не рабочий вариант )

я уже привёл пример и топик стартер другой пример привёл. А ещё я дал рабочий вариант.

докер не подходит

Да ты хоть почитай про замену аудитд от фейсбука которую я тебе дал.

спасибо,почитаю конечно, я пока варианты собираю

чтобы было что ответить "я ничего не делал"

Все таки рекомендую политики

Доступов там

Они хоть место не жрут

Как логи

мне не нужно ограничить кого-то, с этим проблем нет, есть условно дира с правами запись на группу, в группе есть n юзеров, кторые имееют одинаковые права, нужно при инцеденте иметь возможность узнать с какими файлами какие операции(простые) происходили

Может кто подскажет, чем можно вести журнал по работе с файлами по ssh удалил/перетер/етц по типу auditd но не для дир, а по юзерам? нужно иметь подобный лог на лине к которому имеет доступ по ссш несколько человек под своими логинами.

смотреть в сторону аудита ФС

мне не нужно ограничить кого-то, с этим проблем нет, есть условно дира с правами запись на группу, в группе есть n юзеров, кторые имееют одинаковые права, нужно при инцеденте иметь возможность узнать с какими файлами какие операции(простые) происходили

Auditctl

это первым делом, мне уже даже osquery насоветовали, но там вся фс либо путь под аудит попадет, а это слишком много инфы собирать, хотелось чего попроще чтобы по уидам конкретным собирало

Позволяет мониторить определённые Файлы

И папки

Очень удобный, не давно юзал

спасибо я писал что вкурсе :)

но немого не то

В чем проблема мониторить изменение и удаление файлов

Он позволяет

Да и отгрепать потом проблем не возникает

спасибо я писал что вкурсе :)

тогда меняй ТЗ

потому что в этот пусть идет 99% того что мне логировать не нужно

это первым делом, мне уже даже osquery насоветовали, но там вся фс либо путь под аудит попадет, а это слишком много инфы собирать, хотелось чего попроще чтобы по уидам конкретным собирало

psacct типа этого?

потому что в этот пусть идет 99% того что мне логировать не нужно

тебе важно знать какие команды пользователь применяет или что меняет на уровне ФС? определись

я же в первом сообщении четко написал, мне нужно по нескольким конкретным уида иметь лог работы с фс ключевое по конкретным уидам

аудит мне будет писать лог по всем процессам что сильно избыточно

фильтр по уидам

еще раз ) если не найду ничего лучше в ту сторону и полезу, вопрос какраз о альтернативах

аудит мне будет писать лог по всем процессам что сильно избыточно

Ты внимательно доку листал?

может и нет, но не нашел как ограничится юзерами, а не путями

может и нет, но не нашел как ограничится юзерами, а не путями

shell?

может и нет, но не нашел как ограничится юзерами, а не путями

Auditctl uid

может и нет, но не нашел как ограничится юзерами, а не путями

Конфиги в git, continuous integration

Возможность роллбека, истории изменения

Конфиги в git, continuous integration

как это аудиту поможет?

Через фильтр такая возможность была

как это аудиту поможет?

Зачем на уровне фс когда можно простыми путями на уровне системы

может и нет, но не нашел как ограничится юзерами, а не путями

auditd сложно настраивать, но можно сделать то что ты хочешь. аналог который я советовал юзать попроще, чуть полегче. Можно либо через фильтр выводить, либо натравить мониторинг на определённое место только.

Auditctl uid

ещн раз, то что можно фильтровать вывод по уид это понятно, но мне писать в журнал 99.9999% операций над файлами от других процесов выглядит диким овэрхэдом.

auditd сложно настраивать, но можно сделать то что ты хочешь. аналог который я советовал юзать попроще, чуть полегче. Можно либо через фильтр выводить, либо натравить мониторинг на определённое место только.

Да вы прикалываетесь, минут 15 потратил

Зачем на уровне фс когда можно простыми путями на уровне системы

ты не ответил на вопрос

Auditctl -F

При сборке

ты не ответил на вопрос

Я ответил - так ли нужен аудит фс?

auditd сложно настраивать, но можно сделать то что ты хочешь. аналог который я советовал юзать попроще, чуть полегче. Можно либо через фильтр выводить, либо натравить мониторинг на определённое место только.

точно можно ? это первое что пришло на ум, но там либо патчить чтобы сливало все кроме нужных уид в /dev/null либо я не вычитал в доках способ

Man auditctl

точно можно ? это первое что пришло на ум, но там либо патчить чтобы сливало все кроме нужных уид в /dev/null либо я не вычитал в доках способ

в осквери точно можно. По аудиту лео вот мастер

Я ответил - так ли нужен аудит фс?

из кейса да. расскажи мне, как задетектить изменени файла, скажем в /tmp

Телефон садится

До ноута доберусь минут через 20

Напишу

Телефон садится

ты там не сливайся ахахах

Ребят, а кто в тимсити смысли. Можно ли там настроить деплой состоящий из нескольких билд сценариев? Т.е. к примеру frontend+backend+еще пачка сервисов

из кейса да. расскажи мне, как задетектить изменени файла, скажем в /tmp

Так ли нужно это

Так ли нужно это

нужно, расскажи как ты это сделаешь

Забивание ram всегда провоцирует некие события которые без труда можно в syslog

ясно

спасибо

U re welcome

Man auditctl

File System File System rules are sometimes called watches. These rules are used to audit access to particular files or directories that you may be interested in. If the path given in the rule is a directory, then the rule used is recursive to the bottom of the directory tree excluding any directories that may be mount points оно пишет все, а потом можно фильтровать вывод, это несколько раз обсудили, коль знаешь правило, как писать только от отпределенного уида так поделись т.е. не писать все события фс для пути, а только события с подачи конкретного уида.

Вечер добрый, а кто то может присоветовать путь для следующей задачи:

дано: виртуальный датацентр. Есть пачка белых ип адресов. Есть набор вм. Для каждой вм созданы правила снат и днат таким образом что каждая вм использует свой белый ип адрес. Ещё есть пачка правил файервола. Учитывая что в списках нет даже элементарной сортировки и фильтрации управлять этим хозяйством мягко сказать проблематично.

Vcloud от vmware

Evgen Bessonov: Думаю над двумя путями: 1 использование cli и скрипты в гит. 2 добавить ещё одну вм и её задействовать в качестве шлюза.

Evgen Bessonov: Ansible модуль для управления коммутатором только ещё где то в роадмапе - когда будет не понятно

Спрашивал в соседней ветке, но там в разы меньше участников, поэтому ещё сюда спрошу

Мат убери плз. В след раз по шапке получишь:)

https://habr.com/post/418957/ Я тут накидал, почти по теме канала.

https://habr.com/post/418957/ Я тут накидал, почти по теме канала.

Ты ж с год назад рассказывал про это где-то?

Ты ж с год назад рассказывал про это где-то?

Нет, я в канале заббиксу в мае это обсуждал. А расширение появилось вроде в марте этого года только

https://habr.com/post/418957/ Я тут накидал, почти по теме канала.

ееее, DevOps и сраббикс!

ееее, DevOps и сраббикс!

Что то не так? Не по теме? ЯННП

Что то не так? Не по теме? ЯННП

ненене, все по методологии

ненене, все по методологии

тут приходили просили помощи в написании баш скриптов

Что то не так? Не по теме? ЯННП

не по теме. жабикс - любимое для мышкокликеров

тут приходили просили помощи в написании баш скриптов

тут много чего происходит. Не значит, что нужно говном обмазываться

не по теме. жабикс - любимое для мышкокликеров

Но ведь его можно через тераформ и yaml конфигурить...

не по теме. жабикс - любимое для мышкокликеров

Абажжите. Это про мониторинг? Да. Подходит под дивапс? Да.

не по теме. жабикс - любимое для мышкокликеров

задрался мышекликерством, конфигурю через ансибл и питон по апи

Нет, я в канале заббиксу в мае это обсуждал. А расширение появилось вроде в марте этого года только

ну и эт, уведомления на рабочем столе от жабикса я видел в 2014 так-то