2

Я пытаюсь использовать audd для мониторинга изменений в каталоге. Проблема в том, что когда я настраиваю правило, оно отслеживает указанный мной каталог, а также все подкаталоги и файлы под ним, что делает мониторинг бесполезным из-за бесконечного многословия.

Вот как я настраиваю правило:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

Когда я ищу в журналах, используя

ausearch -k raven-pubhtmlwatch

Я получаю тысячи строк из журналов, которые перечисляют все в public_html .

Как я могу ограничить правило только изменениями в указанном каталоге?

2 ответа2

4

Благодарим Стива @ Редхата, который ответил на мой вопрос в списке рассылки linux-audit :

Часы - это действительно скрытое правило системного вызова. Если вы поместите часы в каталог, audctl превратит его в:

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Поле -F dir является рекурсивным. Однако, если вы просто хотите просмотреть записи каталога, вы можете изменить это на -F путь.

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Это не является рекурсивным и просто наблюдает за индексом, который занимает каталог.

Мне пришлось добавить правило вручную в /etc/audit/audit.rules затем перезапустить Audit с

/etc/init.d/auditd restart

Теперь правила добавлены, и это прекрасно работает!

1

Ubuntu 12.04, похоже, не ведет себя так же, как с системными объектами. Попробуйте установить эти часы в /etc или /usr /lib (в другом посте, похоже, есть проблемы с просмотром каталогов верхнего уровня). Затем создайте что-нибудь в одном из этих каталогов, и ничего не появится в Audit.log с ключевым словом. Это относится к тестированию PCI DSS 3.1 10.2.7.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .