Назад | Перейти на главную страницу

auditd вообще не регистрирует chmod

Я запускаю следующее, предполагая, что хочу регистрировать любые изменения разрешений каталога home / username:

auditctl -w / home / имя пользователя -p a

Затем я запускаю следующее:

хвост -f /var/log/audit/audit.log

и я наблюдаю за изменениями. Я открываю другой терминал, ssh in, и вижу ssh в audit.log, когда это происходит. Перехожу на sudoer, вижу в audit.log. Когда я закрываю другое окно терминала, я вижу его в audit.log.

Однако, если я это сделаю что-нибудь в / home / username, я ничего не вижу. Я изменяю каталог, используя абсолютные и относительные пути, ничего не происходит. Я касаюсь нового файла в / home / username, ничего не происходит. Я изменяю этот файл, ничего не происходит.

Я перепробовал все в следующих местах: Отслеживать или регистрировать изменения разрешений каталога? и https://unix.stackexchange.com/questions/196840/how-to-investigate-what-is-modifying-a-directories-permission-on-linux и https://www.cyberciti.biz/tips/linux-audit-files-to-see-who-made-changes-to-a-file.html и даже https://access.redhat.com/solutions/10107

и абсолютно ничего не работает. ausearch ничего не показывает, aureport не показывает никаких данных. Я использовал каждую из вариаций темы, перечисленных в каждой из вышеупомянутых ссылок, и я не могу заставить ничего работать.

что странно, так это то, что я могу легко сделать это в ubuntu (он отлично работает), но не в моем экземпляре на основе rhel (AWS Amazon Linux)

Я в недоумении, может ли кто-нибудь дать мне совет? Я, наверное, упускаю что-то очевидное.

и, как ни странно, после того, как я потратил часы, пытаясь выяснить ответ сегодня утром, я выяснил ответ через несколько минут после публикации этого сообщения.

В инстансах Amazon Linux в файле /etc/audit/audit.rules есть строка, которую необходимо удалить / закомментировать, чтобы включить аудит .: -a never, task

Поэтому, если вы не закомментируете эту строку, даже если auditctl -l показывает правило, оно не будет зарегистрировано. Эта же строка находится в /etc/audit/rules.d/audit.rules.default

опускает голову от стыда

Я оставлю это здесь, если другие пользователи AWS столкнутся с той же проблемой.