CentOS8을 실행 중이고 시스템에 4개의 기본 그룹이 있으며 파일 수정을 그룹별로 필터링하는 규칙을 만들려고 합니다. 예를 들어 그룹 운영자가 내 PHP 구성을 변경하면 ausearch를 사용하여 검색할 때 알려주고 싶습니다.어떤 파일이 수정되었는지그리고그것을 수정하기 위해 무엇을 사용했습니까?. 현재 저는 이 규칙을 사용하여 파일 변경 사항을 확인하고 있습니다.
-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file
위치: 6450은 내 Operators 그룹의 GID입니다. 그러나 규칙은 다음만 반환합니다.
type=CONFIG_CHANGE msg=audit(2020-04-06 08:24:07.497:274) : auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key=operators list=exit res=yes
수정된 파일과 수정에 사용된 파일을 추가할 수 있는 방법이 있나요? 아니면 적어도 어느 그룹 구성원이 그것을 변경했는지 알려주세요. 감사해요.