我试图通过审核,有时使我感到困惑。 例如,如果我想监视文件所有者是否更改,则可以使用
-a always,exit -F path=/home/user/test.txt -S chmod -k changed
但是我已经看到有不同的chmod系统调用,fchmod,fchmodat。 我需要全部指定吗?还是其中之一就足够了。
我(某种程度上)从编程角度意识到了区别,但这与Auditd有关吗?
例如,如果我使用chmod,在没有经过审核的情况下更改所有者仍会发生吗?
或另一个示例:删除目录。 rmdir,取消链接,取消链接。
我应该选择什么?
谢谢!
答案 0 :(得分:0)
如果您确实要实施安全审核,那么应该对所有这些系统调用进行审核。
例如,如果您阅读openSCAP Security Guide for RHEL 7,将会看到应该审核fchown,fchownat,lchown,chmod,fchmod等