我试图通过审核,有时使我感到困惑。例如,如果我想监视文件所有者是否更改,则可以使用
-a always,exit -F path=/home/user/test.txt -S chmod -k changed
但是我已经看到有不同的chmod系统调用,fchmod,fchmodat。我需要全部指定吗?还是其中之一就足够了。
我(某种程度上)从编程角度意识到了区别,但这与审核有关吗?
例如,如果我使用chmod,是否仍会发生所有者未经审核而被更改的情况?
或另一个示例:删除目录。 rmdir,取消链接,取消链接。
我应该选择什么?
谢谢!
例如,如果您阅读openSCAP Security Guide for RHEL 7,将会看到您应该审核fchown,fchownat,lchown,chmod,fchmod等