因此我在 auditctl 上有这条规则:
-w /home/ec2-user/myfile -p rwa -k key-name
但当我跑步时
ausearch -f /home/ec2-user/myfile
或者检查 /var/log/audit/audit.log 中的日志,我看不到该文件的任何读取记录,即使我对该文件运行 cat、grep、vi、nano(甚至在 python 中打开进行读取)。但是,如果我执行写入/附加更改,auditd 会记录它。还有其他方法可以知道哪个进程正在读取特定文件吗?
答案1
问题中列出的上述命令在 auditd/selinux 处于活动状态的系统上按预期工作。已在 Fedora 33 上测试。
您的系统上是否安装并运行 auditd?