Auditctl 群組的自訂規則

Auditctl 群組的自訂規則

我正在運行 CentOS8,系統中有 4 個主要群組,我正在嘗試建立一個按群組過濾檔案修改的規則。例如,如果群組操作員更改了我的 php 配置,我希望這樣當我使用 ausearch 搜尋它時它會告訴我哪個文件被修改了他們用什麼來修改它。目前我正在使用此規則來檢查文件更改:

-a entry,always -S all -F gid=6450 -k operators #testing for all syscalls
-a entry,always -S open -F gid=6450 -k operators #whenever the group opens a file

其中: 6450 是我的 Operators 組的 gid。但是,該規則僅傳回:

類型=CONFIG_CHANGE msg=audit(2020-04-06 08:24:07.497:274) : auid=unset ses=unset subj=system_u:system_r:unconfined_service_t:s0 op=add_rule key=operators list

有什麼方法可以讓我加入修改了哪個檔案以及修改它所使用的內容嗎?或至少告訴我是哪個小組成員更改了它。謝謝。

相關內容