我是 Auditd 的新手,我正在尝试监视某些文件的变化,但我无法让它工作,以下是我的示例规则:
-D
# this works
-a always,exit -F path=/home2/ubuntu/test -F perm=war -F key=test2
# this doesn't
-a always,exit -F path=/home/ubuntu/test -F perm=war -F key=test
我总是在编辑规则后重新启动服务。
为了判断它是否有效,我保留了一个带有 的选项卡tail -f /var/log/audit/audit.log,然后触摸测试文件。当我触摸第一个文件时,日志中立即添加了几行新行。对于第二个文件,什么也没有发生。
root@myserver:/# ls -lah /home2/ubuntu/test
-rw-r--r-- 1 root root 0 Aug 10 13:15 /home2/ubuntu/test
root@myserver:/# ls -lah /home/ubuntu/test
-rw-r--r-- 1 root root 0 Aug 10 13:15 /home/ubuntu/test
/home/ubuntu是我的用户的默认主页(我在 aws ec2 上,在官方 ubuntu ami 上)
/home2/ubuntu我刚刚创建了调试我的问题,mkdir -p /home2/ubuntu
当我(重新)启动审计服务时,我收到这条可疑的行,但我不知道它是什么意思:
type=PATH msg=audit(1691674288.688:399557): item=0 name="/home/ubuntu/test" nametype=UNKNOWN cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
我尝试过更改测试文件及其所在目录的权限和/或所有权,但没有任何变化。我不知道还能尝试什么。