সামহইন এমন কোনও ফাইলের জন্য নিরীক্ষণ করতে পারে যা বিদ্যমান নেই, তবে ভবিষ্যতেও হতে পারে?

আমি চাই যে সামহেইন কোনও ফাইল নিরীক্ষণ করুক, উদাহরণস্বরূপ বলুন /root/somefile,। এই ফাইলটি বর্তমানে বিদ্যমান নেই, তবে এটি কোনও বিন্দুতে তৈরি হয়ে গেলে আমাকে বিজ্ঞপ্তি দেওয়া চাই।

আমি এটিতে যুক্ত করি samhainrc:

[ReadOnly]
file = /root/somefile

এটি সামহেইনের দ্বারা এই লগ এন্ট্রি নিঃসরণ করতে পারে:

Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT   :  [2018-10-18T22:54:04+0000] interface=<lstat>, msg=<No such file or directory>, userid=<0>, path=</root/somefile>
Oct 18 22:54:04 ip-172-31-24-115 Samhain[17123]: CRIT   :  [2018-10-18T22:54:04+0000] msg=<POLICY MISSING>, path=</root/somefile>
Oct 18 22:54:19 ip-172-31-24-115 Samhain[17157]: INFO   :  [2018-10-18T22:54:19+0000] msg=<Checking       [ReadOnly]>, path=</root/somefile>
Oct 18 22:54:19 ip-172-31-24-115 Samhain[17157]: NOTICE :  [2018-10-18T22:54:19+0000] msg=<Check failed>, path=</root/somefile>

এবং যদি আমি এই ফাইলটি দিয়ে তৈরি করি echo test > /root/somefileতবে আমি কোনও নীতি লঙ্ঘন লগ করব না - এই ফাইলটির সংযোজনটি লক্ষ্য করা যায় নি।

যদি পূর্বের অস্তিত্বের ফাইলের আগ্রহ তৈরি হয় তবে আমি কীভাবে আমাকে জানাতে সামহাইনকে কনফিগার করব?

কার্যকর হওয়ার জন্য IgnoreMissingকনফিগারেশন বিকল্পটি প্রথম নজরে উপস্থিত হবে, তবে তা নয়। সঙ্গে IgnoreMissing = /root/somefileমধ্যে samhainrc, সেখানে আচরণের কোন পরিবর্তন। দেখে মনে হচ্ছে যে এই বিকল্পটি পরে ফাইলগুলি নিখোঁজ হওয়া প্রত্যাশিত - এটি একটি সতর্কতা দমন করে যদি কোনও ফাইল উপস্থিত থাকত তবে এখন তা নয়, উদাহরণস্বরূপ যদি একটি স্বয়ংক্রিয় প্রক্রিয়া পুরানো ফাইলগুলিকে মুছে দেয়।

যদিও /root/somefileএই ক্ষেত্রে স্পষ্টতই গঠিত হয়েছে, উদাহরণস্বরূপ যেখানে অস্তিত্বহীন ফাইলটি হঠাৎ উপস্থিত হতে শুরু করে যদি ফাইলটি /home/someuser/.ssh/authorized_keysআগে উপস্থিত না থাকলে তবে হঠাৎ উপস্থিত থাকে - এটি কোনও দূষিত ব্যবহারকারী হতে পারে যে কোনও ব্যাকডোর ছাড়ার জন্য কোনও কিছু কাজে লাগিয়েছিল তাদের শেল ব্যবহারকারী হিসাবে লগ ইন করতে। এটি এমন একটি বিষয় যা সম্পর্কে আমি সতর্ক হতে চাই।

ব্যবহারকারীর ফোল্ডারে সমস্ত পরিবর্তন dir = /home/someuser/.sshনিরীক্ষণ করার জন্য এটি ব্যবহার করা সম্ভব , তবে এটি অপ্রয়োজনীয়: যদি ব্যবহারকারীর পক্ষে তাদের অ্যাকাউন্টে এসএসএইচ ব্যবহার করা স্বাভাবিক হয় তবে তাদের ফাইলটি পরিবর্তন হতে পারে, তারা তাদের ইত্যাদি পরিবর্তন করতে পারে এবং আমি চাই না তাদের দ্বারা সতর্ক করা। সুতরাং আমি কিছু শ্বেত তালিকাভুক্ত ফাইল বাদে পুরো ডিরেক্টরিটি পর্যবেক্ষণ করতে চাই না; আমি নির্দিষ্ট, সমালোচনামূলক ফাইলগুলি বাদ দিয়ে ডিরেক্টরিটি নিরক্ষিতভাবে ছেড়ে যেতে চাই।.ssh.ssh/known_hostsssh_config

যদি আমি সঠিকভাবে বুঝতে পারি তবে আপনার কিছু ফাইল বা সাবডিয়ার বাদে ডিয়ারের সমস্ত ফাইল মনিটর করা দরকার:

আপনি পরবর্তী চেষ্টা করতে পারেন:

[ReadOnly] 
    #
    dir=/home/someuser/.ssh 
    # 
    [Attributes] 
    # 
    # less restrictive policy for the directory file itself 
    # 
    file=/home/someuser/.ssh 
    # 
    [IgnoreAll] 
    # 
    # exclude these file and directories 
    #
    file=/home/someuser/.ssh/known_hosts
    #dir=-1/etc/calendar
    #

অধিক তথ্য https://www.la-samhna.de/samhain/manual/all-except.html