auditd Syscalls - chown和chownat之间的区别？

Question

我试图通过审计，但它有时会让我感到困惑。例如，如果我想监视一个文件的所有者是否发生了变化，我会使用类似这样的方法

-a always,exit -F path=/home/user/test.txt -S chmod -k changed

但是我已经看到有不同的chmod系统调用，fchmod，fchmodat。我需要指定所有它们吗？或者是他们中的一个。

我(在某种程度上)意识到了编程观点的不同，但这与auditd相关吗？

例如，如果我使用chmod，是否仍然会发生所有者被更改而auditd没有注意到的情况？

或者另一个例子:删除目录。rmdir，unlink，unlink。

我应该选择什么？

谢谢!

Answer 1

如果你真的想实现安全审计，那么是的，你应该审计所有这些系统调用。

例如，如果你阅读openSCAP Security Guide for RHEL 7，你会发现你应该审计fchown，fchownat，lchown，chmod，fchmod等等。