¿Existe un registro de Linux para cuando a un usuario se le niega el acceso a los archivos debido a permisos

¿Existe un archivo de registro que realiza un seguimiento de las cosas que los usuarios intentan hacer y se les niega debido a los permisos regulares de archivos Unix? Sé que selinux hace cosas, pero muchas veces los buenos permisos de archivos los detienen primero. Cuando esto sucede, ¿hay un registro en el que se imprime?

Gracias

Cómo configurar y usar auditado en Linux:

http://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html

No, eso no está registrado.

Auditctl le permite registrar el acceso a los archivos, incluido el acceso denegado.

Desde la página del manual :

To see unsuccessful open call's:

auditctl -a exit,always -S open -F success!=0

Es posible que desee consultar AppArmor (información de descarga al final).

Por defecto, la mayoría de las distribuciones no registran eso.

Estaba tratando de resolver este problema yo mismo recientemente. Encontré la respuesta en la página de manual audit.rules:

Ejemplos

La siguiente regla muestra cómo auditar el acceso fallido a los archivos debido a problemas de permisos. Tenga en cuenta que se necesitan dos reglas para cada ABI de arco para auditar esto, ya que el acceso a los archivos puede fallar con dos códigos de falla diferentes que indican problemas de permisos.

-a always,exit -F arch=b32 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b32 -S open -S openat -F exit=-EPERM -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EACCES -k access
-a always,exit -F arch=b64 -S open -S openat -F exit=-EPERM -k access

Mi respuesta descarada a mi propia pregunta.

No, en las configuraciones de stock no hay nada que muestre directamente "al usuario bibby se le negó el acceso a / root"

Es posible que pueda encontrar un software de auditoría que puede tener una auditoría mejorada o tal vez un software (como SeLinux) que utiliza un acceso ACL más complejo a los archivos y puede registrar cosas, pero incluso Windows no registra dichos errores de permisos (hay utilidades con Sysinternals que muestran errores de acceso sobre la marcha denegados para Windows, sin embargo).

No creo que haya encontrado utilidades similares a esa funcionalidad en los sistemas Unix.

Puede intentar buscar cosas "incidentales" en los registros, como el correo o los programas de servidor web que registran errores al intentar acceder a rutas de archivos particulares que, como administrador, debería estar allí.

Si está interesado en la seguridad de su sistema para evitar que los usuarios molestos actúen de manera molesta, puede probar algunas de las utilidades enumeradas aquí y ver si pueden ayudarlo.

si el usuario no puede iniciar sesión debido a permisos, el usuario obtendría "permiso denegado" en su pantalla y estará en / nada entra en el registro, pero es visible para el usuario