CentOS8을 실행 중이고 시스템에 4개의 기본 그룹이 있습니다. 파일 수정을 그룹별로 필터링하는 규칙을 만들려고 합니다. 예를 들어 그룹 운영자가 내 PHP 구성을 변경한 경우 ausearch를 사용하여 검색하면 나에게 알려줄 것입니다.어떤 파일이 수정되었는지그리고그들이 그것을 수정하는 데 사용한 것. 현재 저는 이 규칙을 사용하여 파일 변경 사항을 확인하고 있습니다.
-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file
위치: 6450은 내 Operators 그룹의 gid입니다. 그러나 이 규칙은 다음만 반환합니다.
type=CONFIG_CHANGE msg=audit(2020-04-06 08:24:07.497:274) : auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key=operators list=exit res=yes
수정된 파일과 이를 수정하는 데 사용되는 파일을 추가할 수 있는 방법이 있습니까? 아니면 적어도 그룹의 어느 멤버가 그것을 변경했는지 알려주세요. 감사해요.