我正在使用 Cent 6 Cpanel 机器,一些神秘脚本正在将主目录的权限 (!) 更改为 777。我已经排除了所有简单的修复方法,所以我只需要在目录上设置一个监视并等待它再次发生。
问题是,我目前的规则是:
`auditctl -w /home -pa -k homedir_perm_changes`
正在递归监视整个主目录,并且该分区存储了电子邮件和文档根目录,因此信息实在太多了。
我怎样才能缩减我的规则,使它只监视 /home 下的目录,而不是其下的整个(巨大的)目录树?
谢谢!
答案1
似乎该选项尚未实现。这可能是技术限制,因为 inode 上的系统调用受到监视。
只是一个想法:你可以用一个好的 grep 来解决这个限制,例如:
ausearch -i -k yourauditkey | grep "name=/etc/ "
(请注意 /etc/ 后面的空格)它很脏,但应该对您有帮助,因为它会从中裁剪出所有子目录。