Estou tentando monitorar o syscalls de symlink / symlinkat de arquivos em um diretório específico, então adicionei duas regras:
auditctl -a exit,always -F arch=b64 -S symlinkat -F success=1 -F dir=/XX
auditctl -a exit,always -F arch=b64 -S symlink -F success=1 -F dir=/XX
Mas quando eu faço ln -s /XX/aa /tmp/bb não há registros.
(posso confirmar que o auditd está sendo executado corretamente, porque outras regras que adicionei funcionam bem.)
Então, é impossível monitorar links simbólicos nessa situação?
EDITAR
Parece um bug do kernel, se a origem do arquivo a link reside em / XX, não funciona; Mas se o local de destino estiver dentro de / XX, ele funciona
por exemplo
ln -s /XX/file /tmp/xx # doesn't trigger alert
cd /XX; ln -s /bin/ls xx # triggers alert
Tags symlink linux-audit