Я работаю на машине Cent 6 Cpanel, и какой-то загадочный скрипт меняет права доступа к домашним каталогам (!) На 777. Я исключил все простые исправления, поэтому мне просто нужно настроить наблюдение за каталогом и подождите, пока это повторится снова.
Проблема в том, что мое текущее правило:
`auditctl -w /home -pa -k homedir_perm_changes`
рекурсивно наблюдает за всем домашним каталогом, а в этом разделе хранятся электронные письма и корни документов, так что информации слишком много.
Как я могу сократить свое правило таким образом, чтобы оно отслеживало только каталоги непосредственно в / home, а не все (огромное) дерево каталогов под ним?
Спасибо!
Похоже, что эта опция еще не реализована. Возможно, это техническое ограничение, поскольку отслеживаются системные вызовы inodes.
Просто идея: вы можете обойти это ограничение с помощью хорошей команды grep, например:
ausearch -i -k yourauditkey | grep "name=/etc/ "
(Обратите внимание на пробел после / etc /). Он грязный, но должен помочь вам, потому что он вырезает из него все подкаталоги.