Linux
我正在嘗試設置一些 auditd 規則,但收到錯誤 -F missing operation for auid
我正在嘗試在 /etc/audit/audit.rules 中設置以下規則
-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete
這沒有用,所以我嘗試直接從命令行執行它:
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete
但我收到以下錯誤: -F 缺少 auid 操作
有人可以指導我如何解決這個問題嗎?
執行上述行會導致大於號
>
被您的 shell 解釋為重定向運算符,大概是bash
. 出於這個原因,for 的操作auid
失去了,因為之後>
的所有內容都不再是命令的一部分。=
您可能會在目前目錄中看到一個名為的文件。
>
要正確執行,您必須像這樣逃跑:auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid\>= 1000 -F auid!=4294967295 -k delete
或像這樣:
auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F "auid>=1000" -F auid!=4294967295 -k delete