У меня есть машина Linux, на которой я настроил правило аудита для отслеживания любых типов изменений в файле. Это правило я поместил в файл /etc/audit/audit.rules:
-w /home/ec2-user/splunk-test/secret-file -p rwxa -k log_everything
Этот файл принадлежит пользователю ec2, и я создал еще одного пользователя с именем user1. Я пытаюсь получить доступ к секретному файлу с этим пользователем1, который по умолчанию запрещен (ожидается). Но в файл журнала auditd ничего не записывается. Я проверил сохранение двух окон, одновременно выполняя функцию vi как user1 и в другом окне, наблюдая за изменениями файла журнала.
Я пробовал «vi» как пользователь root, то же самое записывается в журналы auditd. Но когда я пробую то же самое, что и пользователь user1, ничего не происходит. (FYI, у меня есть права доступа к этому файлу как 660) - НЕТ РАЗРЕШЕНИЯ НА ЧТЕНИЕ ДЛЯ МИРА.
Мне что-то здесь не хватает (возможно, в конфигурации auditd) для правильного ведения журнала любых попыток, сделанных с этим файлом? Может ли кто-нибудь помочь мне в ближайшее время.
Общее предположение:
Вам отказано, потому что /home/ec2-user/splunk-test не устанавливает разрешения на перемещение для user1 или /home/ec2-user не устанавливает разрешения на перемещение для user1.
Не поэтому /home/ec2-user/splunk-test/secret-file не читается для user1. Таким образом, вы никогда не достигнете файла, но не сможете достичь из одного из его родительских каталогов в пути.
Впоследствии нечего сообщать об аудите файла, так как файл никогда не был достигнут.