我运行以下命令,因为我想记录对 home/用户名目录的权限的任何更改:
auditctl -w /home/用户名-pa
然后我运行以下命令:
尾部-f /var/log/audit/audit.log
然后我观察变化。我打开另一个终端,使用 ssh 登录,然后我在 audit.log 中看到 ssh。我切换到 sudoer,我在 audit.log 中看到它。当我关闭另一个终端窗口时,我在 audit.log 中看到它。
然而,如果我这样做任何事物到 /home/username,什么都看不到。我使用绝对路径和相对路径修改目录,什么都没发生。我 touch 了 /home/username 中的一个新文件,什么都没发生。我修改该文件,什么都没发生。
我已经在以下地方尝试了一切: 监控或记录目录权限变化? 和 https://unix.stackexchange.com/questions/196840/how-to-investigate-what-is-modifying-a-directories-permission-on-linux 和 https://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html乃至https://access.redhat.com/solutions/10107
似乎什么都没起作用。ausearch 没有显示任何内容,aureport 也没有显示任何数据。我使用了上述每个参考资料中列出的每个主题变体,但什么都没起作用。
奇怪的是,我可以在 ubuntu 中轻松完成此操作(它运行良好),但不能在基于 rhel 的实例(AWS Amazon Linux)中完成
我很困惑,有人能给我一些建议吗?我可能忽略了一些显而易见的东西。
答案1
令人尴尬的是,在今天早上花了几个小时试图找出答案之后,我在发布这篇文章几分钟后就找到了答案。
Amazon Linux 实例在 /etc/audit/audit.rules 文件中带有一行,需要删除/注释掉该行才能启用审计:-a never,task
因此,如果您不注释掉该行,即使 auditctl -l 显示该规则,也不会记录该规则。/etc/audit/rules.d/audit.rules.default 中也有相同的行
羞愧地低下头
我将把这个问题留在这里以防其他 AWS 用户遇到同样的问题。