Duvida sobre o auditctl

NidoBr
(usa Manjaro Linux)

Enviado em 27/04/2021 - 20:13h

Boa noite, tava aqui testando o auditctl e ao monitorar um arquivo percebi que ele não monitora certas ações, no exemplo da imagem o arquivo foi modificado com o echo e o auditctl não detectou, assim qualquer arquivo poderia ser modificado ou sobrescrito por exemplo um log eu não ficaria sabendo, o auditctl funciona assim mesmo ou é alguma opção que eu não conheço?

leandropscardua
(usa Ubuntu)

Enviado em 27/04/2021 - 21:58h

No link https://documentation.suse.com/pt-br/sled/15-SP1/html/SLED-all/cha-audit-comp.html
afirma "Only the creation of new files and the deletion of existing ones are logged as directory-related events.". Minha hipótese é de que, como vc redirecionou o texto para um arquivo q já existia, o linux reaproveitou o inode (pelo menos no teste rápido q fiz aqui procedeu dessa forma) e assim não logou. Mas posso estar completamente equivocado.

NidoBr
(usa Manjaro Linux)

Enviado em 28/04/2021 - 12:11h

No caso do exemplo estou monitorando um arquivo, quando altero o arquivo diretamente com o nano a ação é logado mas quando altero o arquivo indiretamente com redirecionamentos não é logado

leandropscardua
(usa Ubuntu)

Enviado em 28/04/2021 - 19:21h

verdade. Me equivoquei aqui eu confundi o arquivo Teste com um diretório.Foi malz.