В настоящее время я определяю правила системного вызова и файловой системы для системы аудита Linux в Ubuntu, чтобы отслеживать активность в определенных c файлах и каталогах. Я определяю правила системного вызова, чтобы указать архитектуру, пользователей, разрешения и путь / каталог в следующей форме:
-a always,exit -F arch=b64 -F path=/usr/bin/passwd -F perm=x -F auid>=500 -F auid!=unset -k PASSWD
Точно так же я определяю правила файловой системы, когда мне не нужно указывать архитектуру или user, как показано в следующем примере:
-w /etc/ssh/sshd_config -p wa -k SSH
Однако я не уверен, что вызовет журнал аудита, если я не укажу в системных вызовах arch, auid и perm. Будет ли он запускать журнал аудита для всех пользователей (auid> = 0), запускающий любой тип доступа (warx) в любой архитектуре (b32 / b64)?
Аналогично для правил файловой системы, что будет запускать журнал аудита если не определены разрешения (-p)?