监控或记录目录权限变化？

Question

auditd 对我有用..

创建一个名为 /var/www/html/1 的文件

编辑 /etc/audit/audit.rules 并添加以下内容，然后重新启动 auditd。

-w /var/www/html/1

然后运行以下命令。

# chmod 777 /var/www/html/1

在 /var/log/audit/audit.log 中我看到以下内容，

type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
type=CWD msg=audit(1349582090.742:414):  cwd="/root"
type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0

在 Fedora 17 中测试。

Answer 1

auditd 对我有用..

创建一个名为 /var/www/html/1 的文件

编辑 /etc/audit/audit.rules 并添加以下内容，然后重新启动 auditd。

-w /var/www/html/1

然后运行以下命令。

# chmod 777 /var/www/html/1

在 /var/log/audit/audit.log 中我看到以下内容，

type=SYSCALL msg=audit(1349582090.742:414): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=17be0f0 a2=1ff a3=4000 items=1 ppid=2859 pid=3069 auid=1001 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts1 ses=2 comm="chmod" exe="/usr/bin/chmod" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
type=CWD msg=audit(1349582090.742:414):  cwd="/root"
type=PATH msg=audit(1349582090.742:414): item=0 name="/var/www/html/1" inode=6171184 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 obj=unconfined_u:object_r:httpd_sys_content_t:s0

在 Fedora 17 中测试。

监控或记录目录权限变化？

答案1

相关内容