[Résolu]Auditer les accès à un fichier

Salut à tous,

J’ai créée un fichier de logs pour BIND (pour enregistrer les requetes de type “lamers”).
BIND m’informe que l’accès au fichier lui est refusé.
Pourtant le owner du fichier est root et le group est adm (comme le fichier syslog).

COmment puis-je “auditer” le fichier pour connaître l’identité du processus qui tente d’écrire dans ce fichier ? (et si c’est possible, savoir aussi qui lit dans ce fichier) ?

J’ai pensé à auditd, mais je ne suis pas sûr que cela soit fait pour ça.

Vous connaissez un package pour ça ?

Merci

lsof

J’y avais pensé mais si je fais un lsof /var/log/named à un instant t où aucun process ne tente d’écrire dans le fichier, est-ce que je vais le voir ?

Cet aspect “historique” est possible avec lsof ?
Merci

Tu as raison, lsof ne fait que regarder ponctuellement à ma connaissance.
Mais je viens de regarder les logs de mon bind, et ils appartiennent à root::bind, pas à root::adm.
Alors AMA, un petit chgrp bind /var/log/named devrait suffire à résoudre ton problême, faute de savoir comment le diagnostiquer.

J’avais passé le fichier de log en 777 aujourd’hui pour m’assurer que ce soit bien un problème de droit.
C’est le cas, le fichier est maintenant rempli. :smt001

Je vais essayer de le mettre en root::bind.

Ceci dit, j’aimerais bien savoir comment on fait, ça peut toujours servir

Regarde dans /etc/logrotate.d/named ou bind les propriétaires des fichiers log

Le group est bien le group bind.

Mais je chercher toujours à trouver moyen pour auditer les accès à un fichier (si un jour j’ai à faire à un binaire pas connu par tout le monde…)

Tu as fam ou gamin (joli jeu de mot) qui sont destinés à surveiller les modifs sur des fichiers, mais je ne sais pas s’ils savent surveiller les lectures.

[résolu] ?

Impec

J’irai voir de ce coté

Merci