web-dev-qa-db-ja.com

auditdを使用してディレクトリを非再帰的に監視しますか?

私はCent6 Cpanelマシンで作業しており、いくつかの謎のスクリプトがホームディレクトリ(!)のアクセス許可を777に変更しています。簡単な修正をすべて除外したので、ディレクトリに時計を設定する必要がありますそしてそれが再び起こるまで待ちます。

問題は、私の現在のルールです。

`auditctl -w /home -pa -k homedir_perm_changes`

はホームディレクトリ全体を再帰的に監視しており、このパーティションには電子メールとドキュメントルートが格納されているため、情報が多すぎます。

/ homeの直下のディレクトリのみを監視し、その下の(巨大な)ディレクトリツリー全体を監視しないように、ルールをどのように削減できますか?

ありがとう!

3
steve c c

このオプションはまだ実装されていないようです。 iノードのシステムコールが監視されるため、技術的な制限になる可能性があります。

ただのアイデア:この制限を適切なgrepで回避できます。例:

ausearch -i -k yourauditkey | grep "name=/etc/ "

(/ etc /の後のスペースに注意してください)それは汚れていますが、それからすべてのサブディレクトリを切り取るので、あなたを助けるはずです。

2
Malte Stein