auditd 没有正确记录文件操作

auditd 没有正确记录文件操作

我有一台 Linux 机器,我已在其中配置了一条审计规则,用于监控文件的任何类型的更改。这是我在 /etc/audit/audit.rules 文件中放置的规则:

-w /home/ec2-user/splunk-test/secret-file -p rwxa -k log_everything

此文件归 ec2-user 所有,我又创建了一个名为 user1 的用户。我试图用这个 user1 访问 secret-file,默认情况下权限被拒绝(这是预期的)。但 auditd 日志文件中没有记录任何内容。我检查了保留 2 个窗口,同时以 user1 的身份执行 vi 函数,并在另一个窗口上观察日志文件的变化。

我尝试以 root 用户身份使用“vi”,auditd 日志中记录了相同的内容。但是当我以 user1 用户身份尝试相同的操作时,没有任何内容被记录。(仅供参考,我对此文件的权限为 660)- 没有对 WORLD 的读取权限。

我是否遗漏了某些内容(可能是在 auditd 配置中),无法正确记录对此文件所做的任何尝试?有人能尽快帮助我吗?

答案1

总猜测:

您被拒绝,因为/home/ec2-user/splunk-test没有设置遍历权限user1/home/ec2-user没有设置遍历权限user1

不是因为/home/ec2-user/splunk-test/secret-file无法读取user1。因此,您实际上从未到达该文件,而是无法从路径中的某个父目录到达该文件。

由于该文件从未被访问过,因此,没有任何关于该文件的审计报告。

相关内容