Mario de Frutos Dieguez wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Cierto fallo mio no haber informado de la plataforma.
>
> La plataforma es Linux Debian y los ficheros son ficheros dinámicos
> subidos al servidor a través de un filemanager por los usuarios con
> cuentas en la aplicación. Lo curioso es que solo he perdido estos
> archivos no se me ha borrado nada más con lo que quiero saber si son los
> usuarios o es el propio programa que tiene un bug.

Si se sube a través de un filemanager entonces deberías revisar los
registros de éste (qué es, ¿un Samba?) y (quizás) habilitar depuración
más detallada. Si quieres detalles de auditoría de acceso al sistema de
ficheros puedes poner un demonio de comprobación de integridad mirando
sólo la zona de descarga de ficheros (Tripwire, Samhain, Integrit, AIDE,
Osiris, etc. todos están disponibles en Debian)

Si quieres auditoría a más bajo nivel tienes que ir a la auditoría de
actividad en el núcleo a través de parches específicos (creo que no hay
ningún LSM que lo implemente). Los proyectos de auditoría en el núcleo
están un poco parados, tienes SAL http://secureaudit.sourceforge.net/ y
Snare http://www.intersectalliance.com/projects/Snare/ (creo que sólo
soporta el núcleo 2.4). Hay otros que están muertos, como
http://www.kernelthread.com/programming/laudit/

No se si hay algo en desarrollo para la rama 2.6, pero creo que puede
que http://www.kernel.org/pub/scm/linux/kernel/git/viro/audit-2.6.git/
sea una de las cosas en desarrollo.

En cualquier caso, esta última opción (auditoría en el núcleo)
implicaría desplegar un nuevo nucleo parcheado más complicado, desde
luego, que instalar un programa en espacio de usuario que haga esa tarea
(pero el programa tampoco tendrá la misma visibilidad)

Javier

[ reply ]