Аудит Ubuntu 14.04.5 mv Команда

Таким образом, когда я выполняю strace на mv, он показывает, что звонит, переименовывают.

Я не добираюсь, события аудита для 'переименовывают' системный вызов. Я думаю, что знаю, почему и хотел бы некоторую справку, выясняющую решение.

У меня есть набор контрольных правил (пытающийся настроить систему для Соответствия JSIG). Один из них для, переименовывают (...-S, переименовывают...). Другие правила в аналогичном формате хорошо работают.

В моей системе переименуйте, ссылка на/etc/alternatives/rename, который является ссылкой на предварительное имя/usr/bin/prename., сценарий жемчуга. Мое предположение, что mv называет предварительное имя, которое, кажется, не генерирует события аудита.

Это имеет смысл? Действительно ли это - конкретный вопрос Ubuntu? Как действительно генерируют события аудита для, переименовывают для встречи моих требований к защите? Я проверил, и не имейте никаких альтернатив для переименования в моей системе.

Любые комментарии или совет больше всего ценились бы.

0
задан 28 August 2018 в 16:31

1 ответ

Так, как steeldriver указанный и я доказал мне, пространство ядра syscall переименовывают, отличается, чем 'переименовать' команда. Оказывается, что реальная проблема была то, что у меня было неправильное контрольное правило, что высказывание, чтобы никогда контролировать переименовывает (и могут другие) перед правилом, что аудит переименовывает. Спасибо за ответы они помогли мне изменить свой фокус и найти настоящую проблему. Вздохните!

0
ответ дан 28 October 2019 в 01:56

Другие вопросы по тегам:

Похожие вопросы: