Ich verwende CentOS8 und habe 4 Hauptgruppen in meinem System. Ich versuche, eine Regel zu erstellen, die Dateiänderungen nach Gruppen filtert. Wenn beispielsweise die Gruppenoperatoren meine PHP-Konfiguration geändert haben, möchte ich, dass sie mir dies mitteilen, wenn ich mit ausearch danach suche.welche Datei geändert wurdeUndwas sie verwendet haben, um es zu modifizieren. Derzeit verwende ich diese Regel, um nach Dateiänderungen zu suchen:
-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file
Dabei ist 6450 die GID für meine Operatorengruppe. Diese Regel gibt jedoch nur Folgendes zurück:
Typ=CONFIG_CHANGE, Nachricht=Audit (06.04.2020 08:24:07.497:274): auid=nicht festgelegt, ses=nicht festgelegt, subj=system_u:system_r:unconfined_service_t:s0, op=Regel hinzufügen, Schlüssel=Operatoren, Liste=Beenden, res=ja.
Gibt es für mich eine Möglichkeit hinzuzufügen, welche Datei geändert wurde und was zur Änderung verwendet wurde? Oder mir zumindest mitzuteilen, welches Mitglied der Gruppe sie geändert hat. Danke.