Caminho do arquivo no log de auditoria, em vez do número do inode

1

Quando faço:

echo "#TEST" >> /etc/passwd

Eu recebo o seguinte no log de auditoria:

node=kayak.office.local type=SYSCALL msg=audit(1412687666.054:62033):
    arch=c000003e syscall=2 success=yes exit=3 a0=2939480 a1=241 a2=1b6
    a3=76 items=2 ppid=12744 pid=12748 auid=1030 uid=0 gid=0 euid=0 
    suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=1769 comm="bash" exe="/bin/bash" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key="identity"

node=kayak.office.local type=CWD     msg=audit(1412687666.054:62033):  
    cwd="/root"

node=kayak.office.local type=PATH    msg=audit(1412687666.054:62033):
    item=0 name="/etc/" inode=13    dev=fd:00 mode=040755  ouid=0 ogid=0 
    rdev=00:00 obj=system_u:object_r:etc_t:s0 nametype=PARENT

node=kayak.office.local type=PATH    msg=audit(1412687666.054:62033):  
    item=1 name=(null)  inode=15883 dev=fd:00 mode=0100644 ouid=0 ogid=0 
    rdev=00:00 obj=system_u:object_r:etc_t:s0 nametype=NORMAL

(espaços adicionados para legibilidade)

O inode de / etc / passwd é de fato 11908 , mas isso é difícil de analisar com ferramentas externas, que criam regras baseadas em nomes de arquivos. Posso obter o nome / caminho do arquivo?

    
por Karlo 07.10.2014 / 15:24

0 respostas