Estoy ejecutando CentOS8 y tengo 4 grupos principales en mi sistema. Estoy intentando crear una regla que filtre la modificación de archivos por grupo. Como por ejemplo si los operadores del grupo cambiaron mi configuración de php, lo quiero de tal manera que cuando lo busque usando ausearch me lo digaqué archivo ha sido modificadoyque usaron para modificarlo. Actualmente estoy usando esta regla para verificar cambios en el archivo:
-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file
Donde: 6450 es el gid de mi grupo de Operadores. Sin embargo, esta regla sólo devuelve:
type=CONFIG_CHANGE msg=audit(2020-04-06 08:24:07.497:274): auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key=lista de operadores=salir res=yes
¿Hay alguna forma de agregar qué archivo se modifica y qué se usa para modificarlo? O al menos dime qué miembro del grupo lo cambió. Gracias.