Estou trabalhando em uma máquina Cpanel Cent 6, e algum script misterioso está mudando as permissões dos diretórios home (!) para o 777. Eu descartei todas as correções fáceis, então eu só preciso configurar um relógio no diretório e espere até que isso aconteça novamente.
O problema é, minha regra atual:
'auditctl -w /home -pa -k homedir_perm_changes'
está observando o diretório home inteiro de forma recursiva, e essa partição armazena e-mails e documentações, portanto há muita informação em demasia.
Como posso reduzir minha regra de forma que observe apenas os diretórios diretamente em / home e não a árvore de diretórios inteira (enorme) abaixo dela?
Obrigado!
Parece que esta opção ainda não está implementada. Pode ser uma limitação técnica, pois as chamadas do sistema nos inodes são observadas.
Apenas uma ideia: você poderia contornar essa limitação com um bom grep, por exemplo:
ausearch -i -k yourauditkey | grep "name=/etc/ "
(observe o espaço depois de / etc /) Ele está sujo, mas deve ajudá-lo, porque ele corta todos os subdiretórios dele.