我有一台 Linux 机器,我已在其中配置了一条审计规则,用于监控文件的任何类型的更改。这是我在 /etc/audit/audit.rules 文件中放置的规则:
-w /home/ec2-user/splunk-test/secret-file -p rwxa -k log_everything
此文件归 ec2-user 所有,我又创建了一个名为 user1 的用户。我试图用这个 user1 访问 secret-file,默认情况下权限被拒绝(这是预期的)。但 auditd 日志文件中没有记录任何内容。我检查了保留 2 个窗口,同时以 user1 的身份执行 vi 函数,并在另一个窗口上观察日志文件的变化。
我尝试以 root 用户身份使用“vi”,auditd 日志中记录了相同的内容。但是当我以 user1 用户身份尝试相同的操作时,没有任何内容被记录。(仅供参考,我对此文件的权限为 660)- 没有对 WORLD 的读取权限。
我是否遗漏了某些内容(可能是在 auditd 配置中),无法正确记录对此文件所做的任何尝试?有人能尽快帮助我吗?
答案1
总猜测:
您被拒绝,因为/home/ec2-user/splunk-test没有设置遍历权限user1或/home/ec2-user没有设置遍历权限user1。
不是因为/home/ec2-user/splunk-test/secret-file无法读取user1。因此,您实际上从未到达该文件,而是无法从路径中的某个父目录到达该文件。
由于该文件从未被访问过,因此,没有任何关于该文件的审计报告。