我正在使用审核logging对文件的任何更改。 这是规则:
# auditctl -l LIST_RULES: exit,always dir=/var/local/ (0x1e) perm=w key=state-files 但如果我运行:
# ausearch -i -k state-files
命令我得到了:
... type=PATH msg=audit(04/27/16 12:51:42.793:8700) : item=0 name=/var/local/some/path/file inode=6100653 dev=08:01 mode=file,644 ouid=someuser ogid=admin rdev=00:00 type=CWD msg=audit(04/27/16 12:51:42.793:8700) : cwd=/opt/app/bin type=SYSCALL msg=audit(04/27/16 12:51:42.793:8700) : arch=x86_64 syscall=open success=yes exit=125 a0=7f9f602ecfa0 a1=241 a2=1b6 a3=7f9f75f69e20 items=1 ppid=13812 pid=13814 auid=unset uid=someuser gid=somegroup euid=xxx suid=ccc fsuid=zzz egid=aaa sgid=bbb fsgid=sss tty=(none) ses=4294967295 comm=java exe=/opt/jdk1.7.0_79/bin/java key=state-files ...
问题在于ausearch报告打开文件,即使perm被设置为只写。 我只想报告文件的更改,而不是读取。