我正在尝试在 /etc/audit/audit.rules 中设置以下规则
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete
这不起作用所以我尝试直接从命令行执行它:
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete
但我收到以下错误:-F 缺少 auid 操作
有人可以指导我如何解决这个问题吗?
答案1
执行上述行会导致您的 shell 将大于号>解释为重定向运算符,这大概就是bash。因此,操作auid缺失,因为后面的所有内容>都不再是命令的一部分。您可能会=在当前目录中看到一个名为的文件。
为了正确执行你必须逃避,>例如像这样:
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid\>= 1000 -F auid!=4294967295 -k delete
或者像这样:
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F "auid>=1000" -F auid!=4294967295 -k delete