Auditd - auditctl-Regel zu überwachen dir nur (nicht alle sub-dir und Dateien, usw..)

Ich versuche, mit auditd die überwachung der änderungen in einem Verzeichnis.
Das problem ist, dass wenn ich ein setup in der Regel überwacht, die ich dir angegeben, sondern auch alle sub-dir-und-Dateien macht der monitor unbrauchbar wegen endloser Geschwätzigkeit.

Hier ist die Regel, die ich setup:

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

wenn ich nach den Protokollen mithilfe von

ausearch -k raven-pubhtmlwatch

Bekomme ich Tausende Zeilen von logs, alles aufzuzählen, was unter public_html/

Wie kann ich begrenzen Sie die Regel auf die Veränderung der angegebene Verzeichnis nur?

Danke Ihnen sehr.

fragte auch hier: superuser.com/q/650714/4714
Diese Frage scheint off-topic, denn es wurde gefragt/beantwortet SuperUser - superuser.com/questions/650714/...
an der Zeit, diese Frage war ich mir nicht sicher, wo der beste post. Wenn Sie glauben, dies ist einfach nur überflüssig und nicht hilfreich, um andere Nutzer, die sich für dieses haben, dann entfernen Sie es bitte. Bitte teilen Sie mir auch Anregungen für die Zukunft. Danke!!!

InformationsquelleAutor superuseroi | 2013-09-26

  1. 11

    Einer Uhr ist wirklich ein syscall Regel in der Verkleidung. Wenn Sie eine Uhr auf einem
    Verzeichnis, auditctl verwandelt es sich in:

    -a exit,always  -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

    Des-F-dir Feld rekursiv ist. Jedoch, wenn Sie wollen einfach nur zu beobachten, das Verzeichnis
    Einträge, die Sie ändern können, die zu-F-Pfad.

    -a exit,always  -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

    Dies ist nicht rekursiv und Uhren nur die inode, Verzeichnis belegt.

    Ich hatte, um die Regel manuell in:
    /etc/audit/audit.Regeln

    dann neu starten auditd mit 

    /etc/init.d/auditd restart

    nun die Regeln werden Hinzugefügt, und es funktioniert Super!
    Alle Kredit geht an Steve @ redhat, wer beantwortet meine Frage in die audit-mailing-Liste:
    https://www.redhat.com/archives/linux-audit/2013-September/msg00057.html

    Ich musste dieses geniale auditctl was in einem Produktions-server. Ich habe nun Sorge, dass es vielleicht Auswirkungen auf die Leistung. Ist es genug zu tun auditctl -D entfernen Sie alle Regeln, oder muss ich es deinstallieren oder deaktivieren, in irgendeiner Weise? Weißt du das? Danke!
    Welche Art von Uhren produziert, die syscall-Regel, die Sie bieten? ie, habe ich eine Regel, dass nur Uhren für änderungen der attribute, dh es hat den Schalter -p a. Was syscall-Regel würde, zu produzieren. Auch nicht, syscall-Regeln müssen die -S Schalter angeben, welche syscall zu beobachten?
    Nicht ganz richtig: wenn Sie eine Uhr auf ein Verzeichnis ohne Angabe von Berechtigungen, die standardmäßig werden warx, nicht Krieg. Beachten Sie übrigens, dass auditctl gerne akzeptieren ungültige Dateien und Verzeichnisse zu sehen, wie lange der unwirksame Teil ist das Blatt. Ungültige Pfade, die nicht früher als das Blatt, wird ein Fehler ausgelöst.

    InformationsquelleAutor superuseroi

Schreibe einen Kommentar