我正在使用Cent 6的Cpanel机器,一些神秘的脚本正在将主目录(!)的权限更改为777.我排除了所有简单的修复,所以我只需要在目录上设置一个监视等到它再次发生。
麻烦的是,我目前的规定是:
`auditctl -w /home -pa -k homedir_perm_changes` 正在recursion地观察整个主目录,而这个分区存储电子邮件和文件目录,因此完全有太多的信息。
我怎样才能削减我的规则,使其只能直接查看/ home下的目录,而不能查看其下的整个(巨大的)目录树?
谢谢!
看来这个选项还没有实现。 可能是一个技术限制,因为系统调用inode被监视。
只是一个想法:你可以用一个很好的grep来解决这个限制,例如:
ausearch -i -k yourauditkey | grep "name=/etc/ "
(注意/ etc /之后的空格)它很脏,但是应该可以帮助你,因为它把所有的子目录剪掉了。