Auditd - правило audctl для мониторинга только dir (не всех sub dir, файлов и т. Д.)

2597
superuseroi

Я пытаюсь использовать audd для мониторинга изменений в каталоге. Проблема в том, что когда я настраиваю правило, оно отслеживает указанный мной каталог, а также все подкаталоги и файлы под ним, что делает мониторинг бесполезным из-за бесконечного многословия.

Вот как я настраиваю правило:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

Когда я ищу в журналах, используя

ausearch -k raven-pubhtmlwatch

Я получаю тысячи строк из журналов, которые перечисляют все под public_html.

Как я могу ограничить правило только изменениями в указанном каталоге?

2
также спросил здесь: http://stackoverflow.com/q/19031898/7552 glenn jackman 10 лет назад 1

2 ответа на вопрос

4
superuseroi

Благодарим Стива @ Редхата, который ответил на мой вопрос в списке рассылки linux-audit :

Часы - это действительно скрытое правило системного вызова. Если вы поместите часы в каталог, audctl превратит его в:

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Поле -Fdir является рекурсивным. Однако, если вы просто хотите просмотреть записи каталога, вы можете изменить это на -Fпуть.

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Это не является рекурсивным и просто наблюдает за индексом, который занимает каталог.

Я должен был добавить правило вручную, а /etc/audit/audit.rulesзатем перезапустить AuditD с

/etc/init.d/auditd restart

Теперь правила добавлены, и это прекрасно работает!

1
Kurt

Ubuntu 12.04, похоже, не ведет себя так же, как с системными объектами. Попробуйте установить эти часы в / etc или / usr / lib (в другом посте, похоже, есть проблемы с попыткой просмотра каталогов верхнего уровня). Затем создайте что-нибудь в одном из этих каталогов, и ничего не появится в Audit.log с ключевым словом. Это относится к тестированию PCI DSS 3.1 10.2.7.

Похожие вопросы