auditctlを使用して権限拒否エラーを記録することはできません。

auditctlを使用して権限拒否エラーを記録することはできません。

次の状況の auditctl ルールを作成しようとしています。 rootが作成し、rootが所有するファイルがあり、chmod 700があります。したがって、ルート以外のユーザーは読み書きできません。

他のユーザーを使用して操作を実行しようとすると、権限が拒否されました。

ただし、これは監査ログには表示されず、操作ルールが見つかりません。私は様々なルールを試しました。

-a always,exit -F arch=b64 -S all -F path=/home/test/test.txt -F success!=0 -k permission_denied.

またはここで別のスレッドで(これを行うと、すべてのファイルが表示されます!)

-a always,exit -F arch=b64 -S open,openat -F exit=-EPERM -F key=permission_denied
-a always,exit -F arch=b64 -S open,openat -F exit=-EACCES -F key=permission_denied

どんなアイデアがありますか?ありがとうございます。

答え1

問題が解決しました。ロギングは実際には機能しますが、私のルールファイルにはすでにルールがあります。

-a always,exit -F arch=b64 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EACCES -F auid!=4294967295 -k file_access_denied

すべてのファイルに対するすべての試行を監視します。ルールを忘れましたが、監査ではルールの最初のインスタンスのみを記録します。したがって、最初のルールがすでに使用されているため、ファイル固有のルールが機能していないようです。

関連情報