Auditd - правило auditctl для мониторинга только dir (не всех sub dir и файлов и т. д..) [закрытый]

Question

Auditd - правило auditctl для мониторинга только dir (не всех sub dir и файлов и т. д..) [закрытый]

Я пытаюсь использовать auditd для отслеживания изменений в каталоге. Проблема в том, что когда я устанавливаю правило, оно отслеживает указанный мною dir, но также и все sub dir и файлы, что делает монитор бесполезным из-за бесконечной многословности.

Вот правило, которое я устанавливаю:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

Когда я ищу журналы с помощью

ausearch -k raven-pubhtmlwatch

Я получаю тысячи строк журналов, которые перечисляют все под public_html/

Как я могу ограничить правило изменениями только в указанном каталоге?

Большое вам спасибо.

1 7

linux shell monitoring audit

1 ответ:

superuseroi · Accepted Answer · 2013-09-27 02:41:05

Часы-это на самом деле замаскированное правило syscall. Если вы поместите часы на каталог, auditctl превратит его в:
-a exit,always  -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
Поле-F dir рекурсивно. Однако, если вы просто хотите посмотреть каталог записи, вы можете изменить этот путь на-F.
-a exit,always  -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
Это не рекурсивно и просто наблюдает за индексом, который занимает каталог.

Мне пришлось добавить правило вручную в: / etc / аудит / ревизия.правила

Затем перезапустить auditd с помощью
/etc/init.d/auditd restart
Теперь правила таковы: добавлено и работает отлично! Вся заслуга принадлежит Стиву @ redhat, который ответил на мой вопрос в списке рассылки аудита: https://www.redhat.com/archives/linux-audit/2013-September/msg00057.html