다음 상황에 대한 auditctl 규칙을 만들려고 합니다. 루트가 만들고 루트가 소유한 파일이 있고 chmod 700이 있습니다. 따라서 루트를 제외한 다른 사용자는 읽거나 쓸 수 없습니다.
다른 사용자를 사용하여 작업을 수행하려고 하면 권한이 거부되었습니다.
하지만 이는 감사 로그에 표시되지 않으며 작동 규칙을 찾을 수 없습니다. 나는 다양한 규칙을 시도했습니다.
-a always,exit -F arch=b64 -S all -F path=/home/test/test.txt -F success!=0 -k permission_denied.
아니면 여기 다른 스레드에서(이렇게 하면 모든 파일이 표시됩니다!)
-a always,exit -F arch=b64 -S open,openat -F exit=-EPERM -F key=permission_denied
-a always,exit -F arch=b64 -S open,openat -F exit=-EACCES -F key=permission_denied
어떤 아이디어가 있나요? 감사해요.
답변1
문제가 해결되었습니다. 로깅은 실제로 작동하지만 내 규칙 파일에는 이미 규칙이 있습니다.
-a always,exit -F arch=b64 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EACCES -F auid!=4294967295 -k file_access_denied
모든 파일에 대한 모든 시도를 모니터링합니다. 규칙을 잊어버렸는데 감사에서는 규칙의 첫 번째 인스턴스만 기록합니다. 따라서 첫 번째 규칙이 이미 사용되었기 때문에 파일별 규칙이 작동하지 않는 것 같습니다.