所以我一直在研究如何在外部媒体的forms在Linux系统上执行写入/上传时进行审计。 目前我所遇到的主要解决scheme是简单地审计挂载和卸载系统调用何时发生,因为跟踪写入可能会过度填充日志文件(这对我的情况应该不成问题)。 我目前尝试从外部媒体读取写入如下:
-w /media/ -p rwxa -k external_media 但是我发现这个解决scheme不起作用,因为-w不会进入新插入的安装目录。 我也查看了-q选项,但是因为我不会事先知道挂载目录的名称,所以我不知道如何为-q选项指定subtree / mount目录名称。 有任何想法吗?
TL; DR在auditd中,当新的挂载点位于目录中时,是否有一种更新规则的watch目录的好方法?
更新:我试图在我的挂载规则中使用-R /etc/audit/audit.rules ,以便每当我find一个新的挂载/卸载我的规则列表将重新应用与包括挂载目录的子树的监视目录,但我得到以下错误
Error - nested rule files not supported
我正在假设是因为我试图-R /etc/audit/audit.rules里面那个非常相同的文件,虽然我可能是错的。 有没有解决方法,这样的规则可以重新应用一些审计事件发生时自动? 但是,我不确定这是否能解决问题,因为我不知道-R是否会立即执行新的规则,或者等到重新启动auditd服务。