Запуск auditd версии 2.6.5 на Centos 7.
Мой файл правил содержит:
-a exit,always -F arch=b64 -F auid=0 -S execve -k root_action
-a exit,always -F arch=b32 -F auid=0 -S execve -k root_action
Когда я бегу which echo, Я получил /usr/bin/echo.
Когда я бегу echo "asd", ничего не авторизуется /var/log/audit/audit.log. Однако когда я бегу /usr/bin/echo "asd" Я вижу, как регистрируется событие. Почему не работает без использования абсолютного пути?
echo - это встроенная оболочка. / bin / echo - это двоичный файл.
Тип type echo и which echo чтобы увидеть разницу.
Когда вы указываете ему полный путь, вы говорите ему использовать двоичный файл, а не встроенную оболочку.