使用 auditd 非递归地监视目录?

使用 auditd 非递归地监视目录?

我正在使用 Cent 6 Cpanel 机器,一些神秘脚本正在将主目录的权限 (!) 更改为 777。我已经排除了所有简单的修复方法,所以我只需要在目录上设置一个监视并等待它再次发生。

问题是,我目前的规则是:

`auditctl -w /home -pa -k homedir_perm_changes`

正在递归监视整个主目录,并且该分区存储了电子邮件和文档根目录,因此信息实在太多了。

我怎样才能缩减我的规则,使它只监视 /home 下的目录,而不是其下的整个(巨大的)目录树?

谢谢!

答案1

似乎该选项尚未实现。这可能是技术限制,因为 inode 上的系统调用受到监视。

只是一个想法:你可以用一个好的 grep 来解决这个限制,例如:

ausearch -i -k yourauditkey | grep "name=/etc/ "

(请注意 /etc/ 后面的空格)它很脏,但应该对您有帮助,因为它会从中裁剪出所有子目录。

相关内容