因此,我一直在寻找在 Linux 系统上审计外部媒体何时执行写入/上传的方法。目前,我遇到的主要解决方案是简单地审计挂载和卸载系统调用发生的时间,因为跟踪写入可能会过度填充日志文件(对于我的情况,这应该不是问题)。我目前尝试从外部媒体读取写入的操作如下:
-w /media/ -p rwxa -k external_media
但是我发现这个解决方案不起作用,因为 -w 不会进入新插入的挂载目录。我也研究了 -q 选项,但由于我事先不知道挂载目录的名称,所以我不知道如何为 -q 选项提供子树/挂载目录名称。有什么想法吗?
TL;DR 在 auditd 中,当新的挂载点放置在该目录内时,是否有一个好方法来刷新规则的监视目录?
更新:我试图-R /etc/audit/audit.rules在我的挂载规则中使用,以便每当我找到新的挂载/卸载时,我的规则列表将重新应用到监视的目录(包括挂载目录的子树),但我收到以下错误
Error - nested rule files not supported
我假设这是因为我试图-R /etc/audit/audit.rules进入同一个文件,尽管我可能错了。有没有解决方法,以便在发生某些审计事件时自动重新应用规则?但我不确定这是否能解决问题,因为我不知道 -R 是否会立即强制执行新规则,还是会等到重新启动 auditd 服务。