我已配置auditd 来监视重新启动/关闭/登录。尝试通过以下方式添加文件系统规则和系统调用规则:
-w /sbin/shutdown -p x -k power
-w /sbin/poweroff -p x -k power
-w /sbin/reboot -p x -k power
-w /sbin/halt -p x -k power
和系统调用方式:
-a exit,always -F arch=b64 -S execve -F path=/sbin/reboot -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/halt -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/poweroff -k power
-a exit,always -F arch=b64 -S execve -F path=/sbin/shutdown -k power
这些似乎都没有完成工作,而其他日志则正常添加。例如,以下结果会按预期生成日志:
-w /usr/bin/dpkg -p x -k apps
我在不同的设备和两个版本的 Ubuntu - 16.04 和 18.04 上尝试过