使用chattr所做的更改未被auditd检测到。

Question

我希望使用auditd监视特定目录，以便记录任何更改。我创建了一个规则，使用：

auditctl -w /etc/my_path_to_monitor -p wa -k my_rule

这对于我到目前为止测试过的所有内容都非常有用，除了用chattr所做的更改，例如：

chattr +S /etc/my_path_to_monitor/a_file

chattr的使用不会产生任何auditd日志消息--我如何使用auditd审计这些更改？

更新:我发现了一个关于auditd没有记录chattr系统的D5。它确实会记录调用，但与它们所影响的文件无关--所以我仍然被困住了。

Answer 1

我阅读了手册，得出了相同的配置结论，并获得了相同的日志记录结果。通过实验，我发现这个目标可以通过下面的配置来实现。

auditctl -w /etc/my_path_to_monitor -p warx -k my_rule

为了为audit提供额外的资源，如果您打算进一步配置audit，由国防信息系统管理局(DISA)生产的红帽安全技术实现指南 (STIG)具有极好的audit规则基线。这些仍然主要适用于您可能正在使用的任何发行版Linux，可能需要一些插值来匹配您正在使用的系统。