Итак, я искал способы аудита, когда внешний носитель выполняет запись / загрузку в системе Linux. В настоящее время основное решение, с которым я столкнулся, - это просто аудит, когда происходят системные вызовы монтирования и размонтирования, поскольку записи отслеживания могут чрезмерно заполнить файлы журнала (это не должно быть проблемой для моей ситуации). Моя текущая попытка чтения записей с внешнего носителя выглядит следующим образом:
-w /media/ -p rwxa -k external_media
Однако я обнаружил, что это решение не работает, поскольку -w не перемещается во вновь вставленные смонтированные каталоги. Я также изучил параметр -q, но поскольку я не знаю заранее имя смонтированного каталога, я не знаю, как указать параметру -q имя каталога поддерева / монтирования. Любые идеи?
TL; DR В auditd есть ли хороший способ обновить каталог наблюдения правила, когда новая точка монтирования помещается внутри указанного каталога?
ОБНОВЛЕНИЕ: я пытаюсь использовать -R /etc/audit/audit.rules в моем правиле монтирования, так что всякий раз, когда я нахожу новое монтирование / размонтирование, мой список правил будет повторно применяться с наблюдаемым каталогом, включая поддеревья подключенного каталога, но я получаю следующую ошибку
Error - nested rule files not supported
Я предполагаю, что я пытаюсь -R /etc/audit/audit.rules внутри того же самого файла, хотя я могу ошибаться. Есть ли обходной путь для этого, чтобы правила можно было повторно применять автоматически при возникновении некоторого события аудита? Однако я не уверен, что это решит проблему, потому что я не знаю, действительно ли -R будет фактически применять новые правила сразу или будет ждать, пока служба auditd не будет перезапущена.