Auditd-auditctl 规则仅监控目录(并非所有子目录和文件等)

Auditd-auditctl 规则仅监控目录(并非所有子目录和文件等)

我正在尝试使用审计监控目录的更改。问题是,当我设置规则时,它不仅监控我指定的目录,还监控其下的所有子目录和文件,由于冗长无尽,监控变得毫无用处。

以下是我设置规则的方法:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

当我使用搜索日志时

ausearch -k raven-pubhtmlwatch

我从日志中获得了数千行内容,列出了 下的所有内容public_html

我如何才能将规则限制为仅对指定目录进行更改?

答案1

感谢 Steve @ redhat 回答了我的问题Linux 审计邮件列表:

监视实际上是伪装的系统调用规则。如果你对目录进行监视,auditctl 会将其变成:

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

dir字段-F是递归的。但是,如果您只想查看目录条目,则可以将其更改为-Fpath。

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

这不是递归的,只是监视目录占用的 inode。

我必须手动添加规则然后/etc/audit/audit.rules重新启动审计

/etc/init.d/auditd restart

现在规则已添加并且运行良好!

答案2

Ubuntu 12.04 似乎对系统对象的行为方式不同。尝试将此监视放在 /etc 或 /usr/lib 上(在另一篇文章中,尝试监视顶级目录似乎存在问题)。然后在其中一个目录中创建一些内容,audit.log 中不会显示任何带有关键字的内容。这些项目与 PCI DSS 3.1 10.2.7 的测试有关。

相关内容