Por isso, tenho procurado maneiras de auditar quando uma forma de mídia externa executa gravações / uploads em um sistema Linux. Atualmente, a principal solução que me deparei é simplesmente auditar quando a montagem e desmontagem do syscalls ocorre, pois as gravações de rastreamento podem preencher excessivamente os arquivos de log (isso não deve ser um problema para minha situação). Minha tentativa atual de ler gravações de mídia externa é a seguinte:
-w /media/ -p rwxa -k external_media
No entanto, descobri que esta solução não funciona, já que -w não percorre os diretórios montados recém-inseridos. Eu também examinei a opção -q, mas como não sei o nome do diretório montado de antemão, não sei como dar a opção -q ao nome do diretório subtree / mount. Alguma idéia?
TL; DR Em auditd, há uma boa maneira de atualizar o diretório watch de uma regra quando um novo ponto de montagem é colocado dentro do diretório?
ATUALIZAÇÃO: Estou tentando usar -R /etc/audit/audit.rules
em minha regra de montagem para que, sempre que eu encontrar uma nova montagem / desmontagem, minha lista de regras seja reaplicada com o diretório observado, incluindo as subárvores do diretório montado, mas recebo o seguinte erro
Error - nested rule files not supported
O que estou assumindo é porque estou tentando -R /etc/audit/audit.rules
dentro desse mesmo arquivo, embora eu possa estar errado. Existe uma solução alternativa para isso, de modo que as regras possam ser reaplicadas automaticamente após a ocorrência de algum evento de auditoria? No entanto, não tenho certeza se isso consertará o problema, porque não sei se -R realmente aplicará as novas regras imediatamente ou aguardará até que o serviço auditd seja reiniciado.