auditd erra a execução em alguns comandos

1

Eu coloquei uma regra de auditoria no comando jcmd da seguinte forma:

auditctl -w /usr/bin/jcmd -p x -k jvm_debug

No entanto, quando eu o executo, ele não escreve nada para registrar.

Olhando para guias e questões anteriores sobre este assunto, eles usam o mesmo formato, mas dão o comando who como exemplo.

Então eu tentei também:

auditctl -w /usr/bin/who -p x -k who

Para o comando who , o auditd escreve um log ao executá-lo.

apenas para depuração adicional, executei esses comandos com strace , informando para seguir open e execve syscalls. Com o open, estou vendo principalmente chamadas para bibliotecas, mas não o executável. No entanto, ambos os comandos strace a saída, começa com um execve syscall para o arquivo que eu corri.

Como é que o auditd "perde" a chamada do sistema execve para o comando jcmd , mas não para o comando who ?

    
por Tom Klino 14.11.2017 / 14:33

0 respostas