无法使用auditctl记录权限被拒绝的错误

无法使用auditctl记录权限被拒绝的错误

我尝试为以下情况创建一个auditctl规则:有一个文件由root创建,由root拥有,并且chmod 700。因此除了root之外没有其他用户可以读取或写入它。

当我尝试使用另一个用户执行某些操作时,我的权限被拒绝。

但这没有显示在审核日志中,我找不到工作规则。我尝试了多种规则:

-a always,exit -F arch=b64 -S all -F path=/home/test/test.txt -F success!=0 -k permission_denied.

或来自此处的另一个线程(这应该显示所有文件!)

-a always,exit -F arch=b64 -S open,openat -F exit=-EPERM -F key=permission_denied
-a always,exit -F arch=b64 -S open,openat -F exit=-EACCES -F key=permission_denied

有什么想法吗?谢谢。

答案1

问题解决了。日志记录实际上正在工作,但在我的规则文件中我已经有了规则

-a always,exit -F arch=b64 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EACCES -F auid!=4294967295 -k file_access_denied

它监视所有文件的所有尝试。我忘记了该规则,审核仅记录该规则的第一个实例。因此,文件特定规则似乎不起作用,因为第一个规则已被使用。

相关内容