Auditd當我使用絕對路徑時,為什麼 auditd 只記錄
當我使用絕對路徑時,為什麼 auditd 只記錄 echo
?
資訊
在 Centos 7 上執行 auditd 版本 2.6.5。
我的規則文件包含:
-a exit,always -F arch=b64 -F auid=0 -S execve -k root_action -a exit,always -F arch=b32 -F auid=0 -S execve -k root_action
當我跑步時
which echo
,我得到了/usr/bin/echo
。問題
當我執行時
echo "asd"
,什麼都沒有登錄/var/log/audit/audit.log
。但是,當我執行時,/usr/bin/echo "asd"
我看到一個事件被記錄下來。為什麼不使用絕對路徑就不行?
echo 是一個內置的 shell。/bin/echo 是一個二進製文件。
鍵入
type echo
並which echo
查看差異。當你給它完整的路徑時,你是在告訴它使用二進製而不是 shell 內置。