題 Auditd - auditctl規則僅監視dir(不是所有子目錄和文件等..)


我正在嘗試使用 進程auditd 監視目錄的更改。 問題是,當我設置規則時,它會監視我指定的目錄,以及它下面的所有子目錄和文件,由於無窮無盡的冗長而使監視變得無用。

以下是我設置規則的方法:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

當我使用搜索日誌時

ausearch -k raven-pubhtmlwatch

我從列出所有內容的日誌中獲得了數千行 public_html

如何將規則限制為僅指定目錄上的更改?


2
2017-09-26 15:44


起源


還問這裡: stackoverflow.com/q/19031898/7552 - glenn jackman


答案:


感謝Steve @ redhat回答了我的問題 Linux的審計 郵件列表:

手錶實際上是偽裝的系統調用規則。如果你把手錶放在上面   一個目錄,auditctl會把它變成:

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

-F dir字段是遞歸的。但是,如果你只是想觀看   目錄條目,您可以將其更改為 -F 路徑。

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

這不是遞歸的,只是監視目錄的inode   佔據。

我必須手動添加規則 /etc/audit/audit.rules 然後重啟 進程auditd 同

/etc/init.d/auditd restart

現在規則已添加,效果很好!


4
2017-09-26 23:53





Ubuntu 12.04似乎對系統對象的行為方式不同。嘗試將此手錶放在/ etc或/ usr / lib上(在另一篇文章中,似乎有問題試圖觀看頂級目錄)。然後在其中一個目錄中創建一些東西,並且在audit.log中沒有任何內容顯示關鍵字。這些項目涉及PCI DSS 3.1 10.2.7的測試。


1
2017-10-02 08:00