auddd не регистрирует действия файла должным образом

Question

auddd не регистрирует действия файла должным образом

У меня есть компьютер с Linux, где я настроил правило аудита для отслеживания любых типов изменений в файле. Это правило я поместил в файл /etc/audit/audit.rules:

-w /home/ec2-user/splunk-test/secret-file -p rwxa -k log_everything

Этот файл находится в собственности пользователя ec2, и я создал еще одного пользователя с именем user1. Я пытаюсь получить доступ к секретному файлу с этим пользователем1, разрешение которого по умолчанию отклонено (ожидается). Но ничего не регистрируется в файле журнала audd. Я проверил хранение двух окон, одновременно выполняя функцию vi от имени пользователя1, а в другом окне наблюдая за изменениями в файле журнала.

Я пробовал "vi" как пользователь root, то же самое регистрируется в журналах audd. Но когда я пытаюсь сделать то же, что и пользователь user1, ничего не регистрируется. (К вашему сведению, у меня есть права на этот файл как 660) - НЕТ ЧИТАТЬ РАЗРЕШЕНИЕ НА МИР.

Я что-то здесь упускаю (возможно, в конфигурации audd), для правильной регистрации любых попыток, предпринятых в этом файле? Может кто-нибудь, пожалуйста, помогите мне как можно скорее.

0

linux amazon-ec2 redhat auditd

Источник

serverstackqns 03 май '17 в 05:34

1 ответ

Другие вопросы по тегам linux amazon-ec2 redhat auditd

Matthew Ife 03 май '17 в 10:19 2017-05-03 10:19 · Answer 1 · 2017-05-03 10:19

Общее предположение:

Вам отказано, потому что /home/ec2-user/splunk-test не устанавливает разрешения для перемещения user1 или же /home/ec2-user не устанавливает разрешения для перемещения user1,

Не поэтому /home/ec2-user/splunk-test/secret-file не читается для user1, Таким образом, вы никогда не достигаете файла, но не можете найти его из одного из родительских каталогов в пути.

Впоследствии для файла нечего сообщать о проверке, так как файл не был достигнут.