linux - 为什么不使用 auditctl 将 watch 插入顶级目录？-6ren

linux - 为什么不使用 auditctl 将 watch 插入顶级目录？

转载作者：塔克拉玛干更新时间：2023-11-03 01:21:07

26

4

通过man手册，我知道了一些关于auditctl的信息。但是通过选项-w path，我发现了一些信息如下:

Insert a watch for the file system object at path. You cannot insert a watch to the top level directory. This is prohibited by the kernel. Wildcards are not supported either and will generate a warning.

根据我的理解，我认为 auditctl -w/ 命令无法将 watch 插入到顶级目录。但是我在 CentOS 中测试，我发现可以吗？

结果测试信息:

[centos@localhost ~]$ sudo auditctl -w /
[centos@localhost ~]$ sudo auditctl -l
-w / -p rwxa
[centos@localhost ~]$ cd /
[centos@localhost /]$ pwd
/
[centos@localhost /]$ ll
total 24
-rw-r--r--.   1 root root    0 Mar 13 17:01 1
lrwxrwxrwx.   1 root root    7 Mar 13 16:56 bin -> usr/bin
dr-xr-xr-x.   4 root root 4096 Mar 13 17:15 boot
drwxr-xr-x.  20 root root 3320 Mar 14 02:15 dev
drwxr-xr-x. 142 root root 8192 Mar 14 02:14 etc
drwxr-xr-x.   3 root root   20 Mar 13 17:12 home
lrwxrwxrwx.   1 root root    7 Mar 13 16:56 lib -> usr/lib
lrwxrwxrwx.   1 root root    9 Mar 13 16:56 lib64 -> usr/lib64
drwxr-xr-x.   2 root root    6 Nov  5 11:38 media
-rw-r--r--.   1 root root    0 Mar 13 21:40 mmm
drwxr-xr-x.   2 root root    6 Nov  5 11:38 mnt
drwxr-xr-x.   3 root root   16 Mar 13 17:08 opt
dr-xr-xr-x. 219 root root    0 Mar 14 02:14 proc
dr-xr-x---.   6 root root  234 Mar 13 11:53 root
drwxr-xr-x.  40 root root 1180 Mar 14 02:15 run
lrwxrwxrwx.   1 root root    8 Mar 13 16:56 sbin -> usr/sbin
drwxr-xr-x.   2 root root    6 Nov  5 11:38 srv
dr-xr-xr-x.  13 root root    0 Mar 14 02:14 sys
drwxrwxrwt.  42 root root 4096 Mar 14 04:04 tmp
drwxr-xr-x.   2 root root    6 Mar 13 21:40 ttt
drwxr-xr-x.  13 root root  155 Mar 13 16:56 usr
drwxr-xr-x.  21 root root 4096 Mar 14 02:14 var
[centos@localhost /]$ sudo mkdir alex
[centos@localhost /]$ sudo touch alexzl
[centos@localhost /]$ ll
total 24
-rw-r--r--.   1 root root    0 Mar 13 17:01 1
drwxr-xr-x.   2 root root    6 Mar 14 04:17 alex
-rw-r--r--.   1 root root    0 Mar 14 04:17 alexzl
lrwxrwxrwx.   1 root root    7 Mar 13 16:56 bin -> usr/bin
dr-xr-xr-x.   4 root root 4096 Mar 13 17:15 boot
drwxr-xr-x.  20 root root 3320 Mar 14 02:15 dev
drwxr-xr-x. 142 root root 8192 Mar 14 02:14 etc
drwxr-xr-x.   3 root root   20 Mar 13 17:12 home
lrwxrwxrwx.   1 root root    7 Mar 13 16:56 lib -> usr/lib
lrwxrwxrwx.   1 root root    9 Mar 13 16:56 lib64 -> usr/lib64
drwxr-xr-x.   2 root root    6 Nov  5 11:38 media
-rw-r--r--.   1 root root    0 Mar 13 21:40 mmm
drwxr-xr-x.   2 root root    6 Nov  5 11:38 mnt
drwxr-xr-x.   3 root root   16 Mar 13 17:08 opt
dr-xr-xr-x. 218 root root    0 Mar 14 02:14 proc
dr-xr-x---.   6 root root  234 Mar 13 11:53 root
drwxr-xr-x.  40 root root 1180 Mar 14 02:15 run
lrwxrwxrwx.   1 root root    8 Mar 13 16:56 sbin -> usr/sbin
drwxr-xr-x.   2 root root    6 Nov  5 11:38 srv
dr-xr-xr-x.  13 root root    0 Mar 14 02:14 sys
drwxrwxrwt.  42 root root 4096 Mar 14 04:04 tmp
drwxr-xr-x.   2 root root    6 Mar 13 21:40 ttt
drwxr-xr-x.  13 root root  155 Mar 13 16:56 usr
drwxr-xr-x.  21 root root 4096 Mar 14 02:14 var
[centos@localhost /]$ sudo  ausearch  -f /

.............
.............
time->Tue Mar 14 04:17:00 2017
type=PATH msg=audit(1489479420.957:1682): item=1 name="alex" objtype=CREATE
type=PATH msg=audit(1489479420.957:1682): item=0 name="/" inode=64 dev=fd:00 mode=040555 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:root_t:s0 objtype=PARENT
type=CWD msg=audit(1489479420.957:1682):  cwd="/"
type=SYSCALL msg=audit(1489479420.957:1682): arch=c000003e syscall=83 success=no exit=-13 a0=7ffeb030b435 a1=1ff a2=1ff a3=7ffeb030a370 items=2 ppid=3444 pid=5955 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="mkdir" exe="/usr/bin/mkdir" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)

.............

time->Tue Mar 14 04:17:39 2017
type=PATH msg=audit(1489479459.343:1915): item=1 name="/lib64/ld-linux-x86-64.so.2" inode=33613563 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:ld_so_t:s0 objtype=NORMAL
type=PATH msg=audit(1489479459.343:1915): item=0 name="/usr/bin/sudo" inode=1461019 dev=fd:00 mode=0104111 ouid=0 ogid=0 rdev=00:00 obj=system_u:object_r:sudo_exec_t:s0 objtype=NORMAL
type=CWD msg=audit(1489479459.343:1915):  cwd="/"
type=EXECVE msg=audit(1489479459.343:1915): argc=3 a0="sudo" a1="touch" a2="alexzl"
type=BPRM_FCAPS msg=audit(1489479459.343:1915): fver=0 fp=0000000000000000 fi=0000000000000000 fe=0 old_pp=0000000000000000 old_pi=0000000000000000 old_pe=0000000000000000 new_pp=0000001fffffffff new_pi=0000000000000000 new_pe=0000001fffffffff
type=SYSCALL msg=audit(1489479459.343:1915): arch=c000003e syscall=59 success=yes exit=0 a0=e21e00 a1=e99fb0 a2=e34670 a3=7ffe09a62fa0 items=2 ppid=3444 pid=5971 auid=1000 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=1 comm="sudo" exe="/usr/bin/sudo" subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)
----

为什么man手册不支持插入watch到顶级目录，但是测试OK？

最佳答案

我认为这个问题是它限制了在顶级目录而不是子目录或文件上插入监视。例如，如果要在根目录下插入watch，是禁止的，但是可以同时在子目录和文件中添加watch。

关于linux - 为什么不使用 auditctl 将 watch 插入顶级目录？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/42781508/

26

4

0

文章推荐： linux - Mongo 输出到 shell 变量

文章推荐： c++ - WinAPI 双缓冲

文章推荐： c++ - vector myArr 的深拷贝

haskell - 顶级 OverloadedLists 字面量
我有一个用于重构练习的测试套件，我希望它与 Data.List 兼容。和 Data.List.NonEmpty .练习包含一个函数 foo :: [Foo] -> Foo并且测试套件有一些 data
安卓工作室。顶级 build.gradle
我下载了 Android Studio 项目。项目根目录只有一个 build.gradle 具有下一个结构: apply plugin: 'com.android.library' android {
javascript - 最接近的 Jquery 顶级
我似乎无法正确使用最接近的函数来删除删除按钮之外的 UL。 HTML X Data Jquery $('.remove').click(function(){
java - 顶级 Activity 必须位于自定义包之外吗？
我需要一些帮助。顶级 Activity 必须位于自定义包之外吗？这样的话，MainActivity应该是在自定义包之外吧？Activity 是自定义包名称。
android - 顶级 Android Activity
我正在尝试使用 AppCompat Drawer 和多个顶级 Activity (不是 fragment )创建一个基本应用程序 - 我不太清楚如何管理后台堆栈 - 我已经尝试了大约一百种不同的方法-
mysql - 顶级 MySQL 统计信息
无法找到任何相关信息，我可以自己完成此操作，但我觉得将其保留在查询中可能是最好的选择(如果可能的话)。基本上我想尝试添加查询的顶级“统计”部分。所以当我得到结果时，我会看到这样的结果 num_ro
javascript - 顶级/子级菜单上的隐藏()延迟问题但是当鼠标再次进入时取消隐藏()
我在菜单中遇到 onmouseout/over delay 问题。我发现通过将 setTimeout 数字从 100 更改为 2000，它延迟了顶层菜单的隐藏而不是子级菜单，并且在新的 onmouse
Python Tkinter - 顶级 MoveInAnimation
是否有一个选项可以通过使用动画在运行时简单地 move Tkinter TopLevel() 窗口？我想到了由按钮触发的平滑 moveInAnimation。这是一些代码片段: from Tkint
Python 顶级 JSON 索引
我从正在调用的 API 中获取了以下 JSON 文件: { "14500": [ { "5": { "versionName": "VersionOne",
c++ - 顶级 const 不影响函数签名
在 C++ Primer 第五版中，它说: int f(int){ /* can write to parameter */} int f(const int){ /* cannot write to
linux - 顶级 unix 命令升序
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。这个问题似乎不是关于 a specific programming problem, a softwar
java - 顶级 Android 2D 游戏引擎
已结束。此问题正在寻求书籍、工具、软件库等的推荐。它不满足Stack Overflow guidelines 。目前不接受答案。我们不允许提出寻求书籍、工具、软件库等推荐的问题。您可以编辑问题，以便
android - 改造，顶级 json 对象更改？
我正在使用 Retrofit 进行一些 API 调用。对于特定端点，返回的 json 看起来有点像这样: 端点:api.example.com/1.0/userinfo?userid=7 返回的响应看
python - 如何使用文件输入运行 Python 顶级/解释器？
假设我有一个 Python 文件，我想在顶层运行它，但在它完成后，我想从它停止的地方继续。我希望能够使用它创建的对象等。一个简单的例子，假设我有一个执行 i = 5 的 Python 脚本。当脚本结
c++ - CMake 顶级 Xcode 项目属性
我在 Xcode 中使用 Cmake 来生成一个 c++/c“项目”(my_project) 和一些 c++/c“目标”(一个是二进制文件，其余是库) 我的 CMakeLists.txt 看起来像这样
javascript - 顶级 javascript 导入 - Redux
我正在尝试学习 redux，但遇到了错误。我只有两个文件，一个 index.html 文件和一个 main.js 文件，html 文件中有指向 jquery 和 redux cdns 的链接。我在 r
swift - 顶级 Bool 编码为数字属性列表片段。属性列表编码器
我有这个通用函数可以保存在 NSUserDefaults 中，通常可以正常工作，但现在我想保存一个 boolean 值，但出现错误。我找不到任何东西，我不明白为什么它不起作用。 extension U
android - 改造，顶级 json 对象更改名称
我正在使用 Retrofit 进行 API 调用。顶级对象的命名取决于请求的查询参数。例如，这样的请求: api.somewebsite.com/1.0/mix_info?mix_id=69 返回这样
python - 删除 Beautifulsoup 中的第一个(顶级)标签
我做汤: from bs4 import BeautifulSoup soup = BeautifulSoup("My paragraph My link", "html.parser") 我想删除第
javascript - 顶级 reducer 中的 redux 状态选择器
看完new egghead course由 Dan Abramov 撰写，我对提到的选择器有疑问。选择器的目的是向组件隐藏状态树的详细信息，以便在树发生变化时便于以后管理代码。如果我理解正确，那意

首页

博学

6Ren·AI

商城

linux - 为什么不使用 auditctl 将 watch 插入顶级目录？