auditing symlink / symlinkat syscalls não funciona aqui

3

Estou tentando monitorar o syscalls de symlink / symlinkat de arquivos em um diretório específico, então adicionei duas regras:

auditctl -a exit,always -F arch=b64 -S symlinkat -F success=1 -F dir=/XX
auditctl -a exit,always -F arch=b64 -S symlink -F success=1 -F dir=/XX

Mas quando eu faço ln -s /XX/aa /tmp/bb não há registros.

(posso confirmar que o auditd está sendo executado corretamente, porque outras regras que adicionei funcionam bem.)

Então, é impossível monitorar links simbólicos nessa situação?

EDITAR

Parece um bug do kernel, se a origem do arquivo a link reside em / XX, não funciona; Mas se o local de destino estiver dentro de / XX, ele funciona

por exemplo

ln -s /XX/file /tmp/xx   # doesn't trigger alert
cd /XX; ln -s /bin/ls xx # triggers alert
    
por daisy 26.12.2013 / 08:48

0 respostas