Buongiorno a Tutti.
Mi è stato chiesto di creare uno script bash che lancia clamscan per fare la scansione antivirus di alcuni device. Uso l'opzione --log per creare un file.log.
Dato che lo script è utilizzato da un ben preciso Utente di linux, lo stesso Utente può leggere/modificare il file.log, ma mi è stato chiesto di impedirglielo. Solo root dovrebbe poter leggere/modificare i logs. Non mi viene in mente una soluzione. Mi aiutate?
lettura logs solo da root
Re: lettura logs solo da root
Come è fatto lo script?
Se l'utente è il proprietario puoi auto togliergli i permessi di lettura/scrittura (chmod 000). Che però si può ridare e può comunque cancellare il file.
Altrimenti crei un simil demone che ha permesso differenti con cui l'utente può interfacciarsi e quindi i log avranno una letto utente proprietario.
Ma che senso ha una cosa del genere? Puoi anche metterlo in un percorso strano che sia difficile da scovare? Non una buona soluzione, ma perché non dare accesso ai log di scansione degli stessi file dell'utente?
~ Marco
Re: lettura logs solo da root
mi viene in mente una cosa, poco elegante eh 
, ma che potrebbe funzionare:
alla fine del tuo script sposti il file di log da qualche parte(così siamo sicuri che ha finito di scrivere)
nel crontab esegui uno script come root ogni tot secondi che verifica la presenza del file di log e ci fa quello che ti serve(lo sposta, lo accoda ad altro log, cambia permessi etc etc)
, ma che potrebbe funzionare:alla fine del tuo script sposti il file di log da qualche parte(così siamo sicuri che ha finito di scrivere)
nel crontab esegui uno script come root ogni tot secondi che verifica la presenza del file di log e ci fa quello che ti serve(lo sposta, lo accoda ad altro log, cambia permessi etc etc)
Re: lettura logs solo da root
Oltre alle soluzioni proposte, ma il log di ClamAV non sono di proprietà dell'utente clamav ? Se si non basta togliere la possibilità all'utente di accedere ai file di clamav, quindi anche ai log? Ma non so se vuoi che comunque l'utente possa comunque fare una scansione allora non si può fare. Chi è lo user dello script?
concordo, ma forse perché deve fare la scansione "di alcuni device" di cui non deve sapere?
Live Long & Prosper - Mettere [RISOLTO] al titolo primo post come da Regolamento quando risolto (entro 30g), tnx. https://duckduckgo.com - https://guide.debianizzati.org/index.ph ... i_al_forum
Il cancro si può sconfiggere!
Il cancro si può sconfiggere!
Re: lettura logs solo da root
Ringrazio gli intervenuti al mio post. Su alcuni forum che frequento a volte i post restano senza neppure una risposta, ed è una cosa triste. Quindi apprezzo che qualcuno mi abbia risposto.
La mia strana esigenza nasce dal fatto che c'è il sospetto che qualcuno "manipoli" i log di scansione per far apparire "il falso".
Alcune vostre risposte mi sono stare utili perchè mi hanno spinto a riflettere: ho deciso di risolvere banalmente inserendo subito dopo il comando di clamscan, un comando di...
chattr +i file.log
questo perchè ritengo che gli utenti utilizzatori dello script siano skillati a sufficienza da poter fare un "vi" sul file.log, ma non abbastanza da capire il perchè il file risulti non modificabile.
Ovviamente resto aperto ad una soluzione migliore di questa, se a qualcuno venisse in mente.
La mia strana esigenza nasce dal fatto che c'è il sospetto che qualcuno "manipoli" i log di scansione per far apparire "il falso".
Alcune vostre risposte mi sono stare utili perchè mi hanno spinto a riflettere: ho deciso di risolvere banalmente inserendo subito dopo il comando di clamscan, un comando di...
chattr +i file.log
questo perchè ritengo che gli utenti utilizzatori dello script siano skillati a sufficienza da poter fare un "vi" sul file.log, ma non abbastanza da capire il perchè il file risulti non modificabile.
Ovviamente resto aperto ad una soluzione migliore di questa, se a qualcuno venisse in mente.
Re: lettura logs solo da root
Sei sicuro di poterlo fare? non devi essere root per farlo?
E come si comporterebbe lo script alla riesecuzione che si trova il file di log non modificabile?
Se il tuo dubbio è che venga modificato, puoi farne una copia alla fine dello script e ne verifichi eventuali differenze.
Re: lettura logs solo da root
O anche fare un checksum oppure potresti anche pensare di inviarlo in cloud.
Stiamo parlando di una realtà privata o aziendale? (Non fa differenza eh, è solo per capire). Stiamo parlando di un solo utente?
Perché le scansioni non le lanci automaticamente da cron da root così pace all'anima dell'utente nemmeno può farci nulla?
Stiamo parlando di una realtà privata o aziendale? (Non fa differenza eh, è solo per capire). Stiamo parlando di un solo utente?
In che senso? Cioè quale dovrebbe essere lo scopo? Cancellare file che non si vuole appaiano?
Perché le scansioni non le lanci automaticamente da cron da root così pace all'anima dell'utente nemmeno può farci nulla?
~ Marco
Re: lettura logs solo da root
Come ho già detto: ma non bastava semplicemente togliere l'utente "dubbio" dal gruppo clamav così non può assolutamente modificare i log? Oppure ClamAV ha cambiato la modalità?
A me sembra la soluzione più pulita.
A me sembra la soluzione più pulita.
Live Long & Prosper - Mettere [RISOLTO] al titolo primo post come da Regolamento quando risolto (entro 30g), tnx. https://duckduckgo.com - https://guide.debianizzati.org/index.ph ... i_al_forum
Il cancro si può sconfiggere!
Il cancro si può sconfiggere!
