auditd 系统调用 - chown 和 chownat 之间的区别?
auditd Syscalls - difference between chown and chownat?
我正在尝试通过 auditd,有时这让我感到困惑。
例如,如果我想监视文件的所有者是否更改,我会使用类似
-a always,exit -F path=/home/user/test.txt -S chmod -k changed
但是我看到有不同的chmod系统调用,fchmod,fchmodat。
我需要指定所有这些吗?或者其中一个就够了。
我(有点)从编程的角度意识到了差异,但这与 auditd 相关吗?
例如,如果我使用 chmod,是否还会发生所有者更改而 auditd 没有注意到的情况?
或者另一个例子:删除一个目录。 rmdir, unlink, unlinkat.
我应该选择什么?
谢谢!
如果您真的想实施安全审计,那么是的,您应该审计所有这些系统调用。
例如,如果您阅读 openSCAP Security Guide for RHEL 7,您会发现您应该审核 fchown、fchownat、lchown、chmod、fchmod等
我正在尝试通过 auditd,有时这让我感到困惑。 例如,如果我想监视文件的所有者是否更改,我会使用类似
-a always,exit -F path=/home/user/test.txt -S chmod -k changed
但是我看到有不同的chmod系统调用,fchmod,fchmodat。 我需要指定所有这些吗?或者其中一个就够了。
我(有点)从编程的角度意识到了差异,但这与 auditd 相关吗?
例如,如果我使用 chmod,是否还会发生所有者更改而 auditd 没有注意到的情况?
或者另一个例子:删除一个目录。 rmdir, unlink, unlinkat.
我应该选择什么?
谢谢!
如果您真的想实施安全审计,那么是的,您应该审计所有这些系统调用。
例如,如果您阅读 openSCAP Security Guide for RHEL 7,您会发现您应该审核 fchown、fchownat、lchown、chmod、fchmod等