내가 할 때 :
echo "#TEST" >> /etc/passwd
감사 로그에서 다음 정보를 얻습니다.
node=kayak.office.local type=SYSCALL msg=audit(1412687666.054:62033):
arch=c000003e syscall=2 success=yes exit=3 a0=2939480 a1=241 a2=1b6
a3=76 items=2 ppid=12744 pid=12748 auid=1030 uid=0 gid=0 euid=0
suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1769 comm="bash" exe="/bin/bash" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="identity"
node=kayak.office.local type=CWD msg=audit(1412687666.054:62033):
cwd="/root"
node=kayak.office.local type=PATH msg=audit(1412687666.054:62033):
item=0 name="/etc/" inode=13 dev=fd:00 mode=040755 ouid=0 ogid=0
rdev=00:00 obj=system_u:object_r:etc_t:s0 nametype=PARENT
node=kayak.office.local type=PATH msg=audit(1412687666.054:62033):
item=1 name=(null) inode=15883 dev=fd:00 mode=0100644 ouid=0 ogid=0
rdev=00:00 obj=system_u:object_r:etc_t:s0 nametype=NORMAL
(가독성을 위해 공백을 추가했습니다)
/etc/passwd의 inode는 실제로 이지만 11908
외부 도구는 파일 이름을 기반으로 규칙을 만들기 때문에 외부 도구로 구문 분석하기가 어렵습니다. 파일 이름/경로를 얻을 수 있나요?