次のコマンドを実行した後
auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F auid>=1000 -F auid!=unset -F key=privileged-priv_change
次のエラーを返します。
-F missing operation for auid
この問題をどのように処理しますか?私のオペレーティングシステムはRed Hat 7です。
答え1
上記のコマンドラインを実行すると、シェルでより大きい記号が>
リダイレクト演算子として解釈されますbash
。したがって、後続のすべての項目がコマンドの一部ではないため、auid
for操作がありません。現在のディレクトリに名前が付いたファイルが表示されること>
があります。=1000
正しく実行するには、>
次のようにエスケープする必要があります。
auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F auid\>=1000 -F auid!=unset -F key=privileged-priv_change
または次のようになります。
auditctl -a always, exit -F path=/usr/bin/chcon -F perm=x -F "auid>=1000" -F auid!=unset -F key=privileged-priv_change
答え2
スペースに注意してください
auditctl -a always,exit -F path=/usr/bin/chcon -F perm=x -F auid>=1000 -F auid!=unset -k privileged-priv_change