Question

Я пытаюсь пройти через audd, и это иногда смущает меня. Например, если я хочу отслеживать изменение владельца файла, я бы использовал что-то вроде

-a always,exit -F path=/home/user/test.txt -S chmod -k changed

Но я видел, что существуют разные системные вызовы chmod, fchmod, fchmodat. Должен ли я указать все из них? Или одного из них достаточно.

Я (в некоторой степени) осознаю отличие от точки зрения программирования, но имеет ли это отношение к auditd?

Например, если я использую chmod, могу ли он все еще случается так, что владелец меняется без аудита, не замечая этого?

Или другой пример: удаление каталога. rmdir, unlink, unlinkat.

Что мне выбрать?

Спасибо!

rolf82 · Answer 1 · 09 марта 2020

Если вы действительно хотите внедрить аудит безопасности, тогда да, вы должны провести аудит всех этих системных вызовов.

Например, если вы прочитаете Руководство по безопасности openSCAP для RHEL 7 , вы увидите, что вы следует проверять fchown, fchownat, lchown, chmod, fchmod et c.

Audit Syscalls - разница между chown и chownat?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.