Linux

我正在嘗試設置一些 auditd 規則,但收到錯誤 -F missing operation for auid

  • September 15, 2020

我正在嘗試在 /etc/audit/audit.rules 中設置以下規則

-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

這沒有用,所以我嘗試直接從命令行執行它:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

但我收到以下錯誤: -F 缺少 auid 操作

有人可以指導我如何解決這個問題嗎?

執行上述行會導致大於號>被您的 shell 解釋為重定向運算符,大概是bash. 出於這個原因,for 的操作auid失去了,因為之後>的所有內容都不再是命令的一部分。=您可能會在目前目錄中看到一個名為的文件。

>要正確執行,您必須像這樣逃跑:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid\>= 1000 -F auid!=4294967295 -k delete

或像這樣:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F "auid>=1000" -F auid!=4294967295 -k delete

引用自:https://serverfault.com/questions/1012093