调试 ubuntu 中符号链接是如何断开的？

Question

对于 auditd，您可以尝试以下操作

$tail -2 /etc/audit/audit.rules 
-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete

您也可以在这里指定目录

-F dir=<directory or mount point>

以下是镜头中使用的选项描述，有关更多详细信息，请查看http://man7.org/linux/man-pages/man8/auditctl.8.html

 -a [list,action|action,list] 
 -S [Syscall name or number|all]
 -k key Set a filter key on an audit rule.

不同规则的更多示例如下：

## Audit log access
-a always,exit -F dir=/var/log/audit/ -F perm=r -F auid>=1000 -F auid!=unset -F key=access-audit-trail
## Attempts to Alter Process and Session Initiation Information
-a always,exit -F path=/var/run/utmp -F perm=wa -F auid>=1000 -F auid!=unset -F key=session
-a always,exit -F path=/var/log/btmp -F perm=wa -F auid>=1000 -F auid!=unset -F key=session
-a always,exit -F path=/var/log/wtmp -F perm=wa -F auid>=1000 -F auid!=unset -F key=session

Answer 1

对于 auditd，您可以尝试以下操作

$tail -2 /etc/audit/audit.rules 
-a always,exit -F arch=b32 -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete
-a always,exit -F arch=b64 -S unlink -S unlinkat -S rename -S renameat  -S rmdir -k delete

您也可以在这里指定目录

-F dir=<directory or mount point>

以下是镜头中使用的选项描述，有关更多详细信息，请查看http://man7.org/linux/man-pages/man8/auditctl.8.html

 -a [list,action|action,list] 
 -S [Syscall name or number|all]
 -k key Set a filter key on an audit rule.

不同规则的更多示例如下：

## Audit log access
-a always,exit -F dir=/var/log/audit/ -F perm=r -F auid>=1000 -F auid!=unset -F key=access-audit-trail
## Attempts to Alter Process and Session Initiation Information
-a always,exit -F path=/var/run/utmp -F perm=wa -F auid>=1000 -F auid!=unset -F key=session
-a always,exit -F path=/var/log/btmp -F perm=wa -F auid>=1000 -F auid!=unset -F key=session
-a always,exit -F path=/var/log/wtmp -F perm=wa -F auid>=1000 -F auid!=unset -F key=session

调试 ubuntu 中符号链接是如何断开的？

答案1

相关内容