因此,当我在 mv 上运行 strace 时,它显示它调用了 rename。
我没有收到“重命名”系统调用的审计事件。我想我知道原因,并希望得到一些帮助来找出解决方案。
我有一堆审计规则(尝试配置系统以符合 JSIG 规范)。其中一条规则用于重命名(... -S rename ...)。其他类似格式的规则运行良好。
在我的系统上,rename 是指向 /etc/alternatives/rename 的链接,而 /etc/alternatives/rename 又是指向 /usr/bin/prename 的链接。prename 是一个 perl 脚本。我猜 mv 正在调用 prename,而 prename 似乎不会生成审计事件。
这有道理吗?这是 Ubuntu 特有的问题吗?如何生成重命名的审计事件以满足我的安全要求?我检查了一下,我的系统上没有其他重命名方法。
如有任何意见或建议,我们将不胜感激。
答案1
因此,正如steeldriver指出的,我自己也证明了,内核空间系统调用重命名与“重命名”命令不同。事实证明,真正的问题是我有一个错误的审计规则,该规则在审计重命名的规则之前规定永远不要审计重命名(可能还有其他)。感谢大家的回复,他们帮助我改变了关注点,找到了真正的问题。唉!