1. ev
  2. Soru-cevap
  3. Auditd - yalnızca dir (yalnızca tüm alt dizin ve dosyalar değil) izlemek için denetim kuralları kuralı

Auditd - yalnızca dir (yalnızca tüm alt dizin ve dosyalar değil) izlemek için denetim kuralları kuralı

2013-09-26 23 views
6

Bir dizindeki değişiklikleri izlemek için auditd'yi kullanmaya çalışıyorum. Sorun şu ki, bir kuralı kurarken, belirttiğim dir'i izlerim, aynı zamanda tüm alt dizinleri ve monitörü, bitmek tükenmeyen bir ayrıntıdan dolayı yararsız kılar. BenAuditd - yalnızca dir (yalnızca tüm alt dizin ve dosyalar değil) izlemek için denetim kuralları kuralı

ausearch -k raven-pubhtmlwatch

Ben public_html altında herşeyi listelemek günlükleri Binlerce satır olsun kullanarak günlükleri arama yaparken Nasıl

/

auditctl -w /home/raven/public_html -p war -k raven-pubhtmlwatch

: Burada

kural I kurulduğundan Kuralı yalnızca belirtilen dizinde yapılan değişikliklerle sınırlandırıyorum?

Çok teşekkür ederim.

kaynak

2013-09-26 superuseroi

+1

: Tüm kredi denetim posta listesindeki soruma cevap Steve @ redhat gider http://superuser.com/q/650714/4714 –

+0

Bu soru olarak göründüğü için konu dışı SuperUser'da sorulmuştur/cevaplanmıştır - http://superuser.com/questions/650714/auditd-auditctl-rule-to-monitor-dir-only-not-all-sub-dir-and-files-etc – Taryn

+0

@bluefeet Bu soruyu sorduğumda, en iyi nerede yayınlayacağından emin değildim. Bunun sadece fazlalık olduğunu ve bunu arayan diğer kullanıcılara yardımcı olmadığını düşünüyorsanız, lütfen kaldırın. Lütfen ayrıca gelecek için herhangi bir öneride bulunmama izin verin. Teşekkür ederim! – superuseroi

cevap

11

Bir saat, gizlemede gerçekten bir syscall kuralıdır.

-a exit,always -F dir=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

-F dir alan özyinelemelidir: Bir dizinde bir saat yerleştirirseniz, auditctl haline dönecek. Ancak, yalnızca girişlerini izlemek istiyorsanız, bunu -F yoluna değiştirebilirsiniz.

-a exit,always -F path=/home/raven/public_html -F perm=war -F key=raven-pubhtmlwatch

Böylece iç içe değildir ve sadece dizin kaplar düğüm izler. Daha sonra artık kurallar eklenir ve o inşaat büyük

/etc/init.d/auditd restart

kullanarak auditd yeniden /etc/audit/audit.rules

:

ben elle kural eklemek zorunda kaldı! Ayrıca burada sorulan https://www.redhat.com/archives/linux-audit/2013-September/msg00057.html

kaynak

2013-09-26 23:41:05 superuseroi

+0

Bir üretim sunucusunda bu parlak 'auditctl' özelliğini kullanmalıydım. Şimdi performansı etkileyebileceğinden endişe ediyorum. Tüm kuralları kaldırmak için auditctl -D' yapmak yeterli mi yoksa onu kaldırmalı mıyım yoksa herhangi bir şekilde devre dışı bırakmam mı gerekiyor? Biliyor musun? Teşekkürler! – pgr

+0

Ne tür bir saat, sağladığınız syscall kuralını üretir? Yani, sadece özellik değişikliklerini izleyen bir kural var, yani '-p a 'anahtarına sahip. Hangi syscall kuralı o üretir. Ayrıca, hangi syscall kurallarını izlemek için hangi syscall belirtmek için '-S' anahtarını kullanmanız gerekmez? – Andrew

+0

Tam olarak doğru değil: Herhangi bir izin belirtmeden bir dizine bir saat yerleştirirseniz varsayılan, savaş değil, warx olacaktır. Bir kenara bakarsak, denetlemenin, geçersiz kısım yaprak olduğu sürece, izlenmesi gereken geçersiz dosyaları ve dizinleri mutlu bir şekilde kabul edeceğini unutmayın. Yapraktan daha önce başarısız olan geçersiz yollar bir hata oluşturur. – Urhixidur

 İlgili konular

  • İlgili sorun yok^_^