我想使用auditd 监视特定目录,以便记录任何更改。我使用以下方法创建了一条规则:
auditctl -w /etc/my_path_to_monitor -p wa -k my_rule
这对于我迄今为止测试过的所有内容都非常有效,除了使用 进行的更改chattr,例如:
chattr +S /etc/my_path_to_monitor/a_file
使用chattr不会产生任何auditd 日志消息 - 我怎样才能使用auditd 审计此类更改?
更新:我发现了一个古线关于auditd不记录chattr系统调用。它确实会记录调用的auditd,但它不会将它们与它们影响的文件联系起来 - 所以我仍然陷入困境。
答案1
我阅读了手册,对配置得出了相同的结论,并在日志记录中得到了相同的结果。经过实验,我发现通过下面的配置就可以达到目的。
auditctl -w /etc/my_path_to_monitor -p warx -k my_rule
audit如果您打算进一步配置audit,请提供额外的资源红帽安全技术实施指南由国防信息系统局 (DISA) 制定的 (STIG) 具有出色的规则基线audit。这些仍然主要适用于您可能使用的任何 Linux 发行版,也许需要进行一些插值以匹配您正在使用的系统。