Таким образом, когда я выполняю strace на mv, он показывает, что звонит, переименовывают.
Я не добираюсь, события аудита для 'переименовывают' системный вызов. Я думаю, что знаю, почему и хотел бы некоторую справку, выясняющую решение.
У меня есть набор контрольных правил (пытающийся настроить систему для Соответствия JSIG). Один из них для, переименовывают (...-S, переименовывают...). Другие правила в аналогичном формате хорошо работают.
В моей системе переименуйте, ссылка на/etc/alternatives/rename, который является ссылкой на предварительное имя/usr/bin/prename., сценарий жемчуга. Мое предположение, что mv называет предварительное имя, которое, кажется, не генерирует события аудита.
Это имеет смысл? Действительно ли это - конкретный вопрос Ubuntu? Как действительно генерируют события аудита для, переименовывают для встречи моих требований к защите? Я проверил, и не имейте никаких альтернатив для переименования в моей системе.
Любые комментарии или совет больше всего ценились бы.
Так, как steeldriver указанный и я доказал мне, пространство ядра syscall переименовывают, отличается, чем 'переименовать' команда. Оказывается, что реальная проблема была то, что у меня было неправильное контрольное правило, что высказывание, чтобы никогда контролировать переименовывает (и могут другие) перед правилом, что аудит переименовывает. Спасибо за ответы они помогли мне изменить свой фокус и найти настоящую проблему. Вздохните!