我正在运行 CentOS8,系统中有 4 个主要组,我正在尝试创建一个按组过滤文件修改的规则。例如,如果组操作员更改了我的 php 配置,我希望这样当我使用 ausearch 搜索它时它会告诉我哪个文件被修改了和他们用什么来修改它。目前我正在使用此规则来检查文件更改:
-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file
其中: 6450 是我的 Operators 组的 gid。但是,该规则仅返回:
类型=CONFIG_CHANGE msg=audit(2020-04-06 08:24:07.497:274) : auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key=operators list=exit res=yes
有什么方法可以让我添加修改了哪个文件以及修改它所用的内容吗?或者至少告诉我是哪个小组成员更改了它。谢谢。