Auditd - правило audctl для мониторинга только dir (не всех sub dir, файлов и т. Д.)
Я пытаюсь использовать audd для мониторинга изменений в каталоге. Проблема в том, что когда я настраиваю правило, оно отслеживает указанный мной каталог, а также все подкаталоги и файлы под ним, что делает мониторинг бесполезным из-за бесконечного многословия.
Вот как я настраиваю правило:
auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch
Когда я ищу в журналах, используя
ausearch -k raven-pubhtmlwatch
Я получаю тысячи строк из журналов, которые перечисляют все под public_html,
Как я могу ограничить правило только изменениями в указанном каталоге?
2 ответа
Благодарность принадлежит Стиву @ redhat, который ответил на мой вопрос в списке рассылки linux-audit:
Часы - это действительно скрытое правило системного вызова. Если вы поместите часы в каталог, audctl превратит его в:
-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch
-Fполе dir является рекурсивным. Однако, если вы просто хотите просмотреть записи каталога, вы можете изменить это на-Fдорожка.-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatchЭто не является рекурсивным и просто наблюдает за индексом, который занимает каталог.
Я должен был добавить правило вручную в /etc/audit/audit.rules затем перезапустите Audit с
/etc/init.d/auditd restart
Теперь добавлены правила, и это прекрасно работает!
Ubuntu 12.04, похоже, не ведет себя так же, как с системными объектами. Попробуйте установить эти часы в / etc или /usr/lib (в другом посте, похоже, есть проблемы с просмотром каталогов верхнего уровня). Затем создайте что-нибудь в одном из этих каталогов, и ничего не появится в Audit.log с ключевым словом Это относится к тестированию PCI DSS 3.1 10.2.7.