我尝试为以下情况创建一个auditctl规则:有一个文件由root创建,由root拥有,并且chmod 700。因此除了root之外没有其他用户可以读取或写入它。
当我尝试使用另一个用户执行某些操作时,我的权限被拒绝。
但这没有显示在审核日志中,我找不到工作规则。我尝试了多种规则:
-a always,exit -F arch=b64 -S all -F path=/home/test/test.txt -F success!=0 -k permission_denied.
或来自此处的另一个线程(这应该显示所有文件!)
-a always,exit -F arch=b64 -S open,openat -F exit=-EPERM -F key=permission_denied
-a always,exit -F arch=b64 -S open,openat -F exit=-EACCES -F key=permission_denied
有什么想法吗?谢谢。
答案1
问题解决了。日志记录实际上正在工作,但在我的规则文件中我已经有了规则
-a always,exit -F arch=b64 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EACCES -F auid!=4294967295 -k file_access_denied
它监视所有文件的所有尝试。我忘记了该规则,审核仅记录该规则的第一个实例。因此,文件特定规则似乎不起作用,因为第一个规则已被使用。