A auditoria não está assistindo / mnt / foo no RHEL4

1

====== Novas informações =====

No meu sistema RHEL4, o auditctl está falhando em assistir somente quando algo é montado por meio do comando mount . O mesmo diretório funciona bem quando é desmontado. A versão da auditoria é 1.0.16. Seja montado ou não, tudo funciona como planejado no CentOS6.7 com a versão de auditoria 2.4.5. Qual pode ser a causa disso?

Este é o arquivo auditd.conf no RHEL4.

Esteéoarquivoauditd.confnoCentOS6.7.

Thieéoarquivoaudit.rulesemambosossistemas.

====== Informação antiga ======

No meu sistema RHEL4, se eu chamar auditctl -w /mnt/foo -k mykey e fizer modificações nesse diretório, nada aparecerá no meu arquivo audit.log além do fato de que um relógio foi inserido. Definitivamente não há erro de digitação. Se eu digitar auditctl -l , posso ver a coisa correta sendo observada. Estranhamente, se eu auditar assistir a um diretório abaixo que, como auditctl -w /mnt/foo/testdir -k mykey2 , isso funciona bem. O status de permissão de /mnt/foo é drwxrwxrwx e o status de permissão de / mnt / foo / testdir é drwxr-xr-x .

Ainda mais estranhamente, no meu sistema CentOS6.7, fazendo a mesma coisa, auditctl -w /mnt/foo -k mykey , funciona bem.

Alguma sugestão de por que isso está acontecendo?

    
por CuriousKimchi 10.10.2016 / 10:40

0 respostas