監査に関する質問

監査に関する質問

次のコマンドを実行した後

auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F auid>=1000 -F auid!=unset -F key=privileged-priv_change

次のエラーを返します。

-F missing operation for auid

この問題をどのように処理しますか?私のオペレーティングシステムはRed Hat 7です。

答え1

上記のコマンドラインを実行すると、シェルでより大きい記号が>リダイレクト演算子として解釈されますbash。したがって、後続のすべての項目がコマンドの一部ではないため、auidfor操作がありません。現在のディレクトリに名前が付いたファイルが表示されること>があります。=1000

正しく実行するには、>次のようにエスケープする必要があります。

auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F auid\>=1000 -F auid!=unset -F key=privileged-priv_change

または次のようになります。

auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F "auid>=1000" -F auid!=unset -F key=privileged-priv_change

答え2

スペースに注意してください

auditctl -a always,exit -F path=/usr/bin/chcon -F perm=x -F auid>=1000 -F auid!=unset -k privileged-priv_change

関連情報