====== Novas informações =====
No meu sistema RHEL4, o auditctl está falhando em assistir somente quando algo é montado por meio do comando mount
. O mesmo diretório funciona bem quando é desmontado. A versão da auditoria é 1.0.16. Seja montado ou não, tudo funciona como planejado no CentOS6.7 com a versão de auditoria 2.4.5. Qual pode ser a causa disso?
Este é o arquivo auditd.conf no RHEL4.
Esteéoarquivoauditd.confnoCentOS6.7.
Thieéoarquivoaudit.rulesemambosossistemas.
====== Informação antiga ======
No meu sistema RHEL4, se eu chamar auditctl -w /mnt/foo -k mykey
e fizer modificações nesse diretório, nada aparecerá no meu arquivo audit.log além do fato de que um relógio foi inserido. Definitivamente não há erro de digitação. Se eu digitar auditctl -l
, posso ver a coisa correta sendo observada. Estranhamente, se eu auditar assistir a um diretório abaixo que, como auditctl -w /mnt/foo/testdir -k mykey2
, isso funciona bem. O status de permissão de /mnt/foo
é drwxrwxrwx
e o status de permissão de / mnt / foo / testdir é drwxr-xr-x
.
Ainda mais estranhamente, no meu sistema CentOS6.7, fazendo a mesma coisa, auditctl -w /mnt/foo -k mykey
, funciona bem.
Alguma sugestão de por que isso está acontecendo?
Tags mount centos audit rhel linux-audit