次の状況の auditctl ルールを作成しようとしています。 rootが作成し、rootが所有するファイルがあり、chmod 700があります。したがって、ルート以外のユーザーは読み書きできません。
他のユーザーを使用して操作を実行しようとすると、権限が拒否されました。
ただし、これは監査ログには表示されず、操作ルールが見つかりません。私は様々なルールを試しました。
-a always,exit -F arch=b64 -S all -F path=/home/test/test.txt -F success!=0 -k permission_denied.
またはここで別のスレッドで(これを行うと、すべてのファイルが表示されます!)
-a always,exit -F arch=b64 -S open,openat -F exit=-EPERM -F key=permission_denied
-a always,exit -F arch=b64 -S open,openat -F exit=-EACCES -F key=permission_denied
どんなアイデアがありますか?ありがとうございます。
答え1
問題が解決しました。ロギングは実際には機能しますが、私のルールファイルにはすでにルールがあります。
-a always,exit -F arch=b64 -S creat,open,openat,open_by_handle_at,truncate,ftruncate -F exit=-EACCES -F auid!=4294967295 -k file_access_denied
すべてのファイルに対するすべての試行を監視します。ルールを忘れましたが、監査ではルールの最初のインスタンスのみを記録します。したがって、最初のルールがすでに使用されているため、ファイル固有のルールが機能していないようです。