Ho più server che montano un NFS condiviso chiamato / opt / WHATEVER dal Server X.
Il server X ha abilitato auditd con la regola: sudo / sbin / auditctl -w / opt / WHATEVER -p rwxa
Quando si verificano eventi sul server X su quella cartella, funziona alla grande. Tuttavia, quando altre macchine accedono o modificano qualcosa, non viene segnalato nulla. Il server X e altri hanno lo stesso percorso. i.e / opt / WHATEVER
Come si può abilitare auditd per tenere traccia degli eventi da NFS?
Molto come la ricorsione, per capire la revisione devi prima capire la verifica. Auditd è il front-end di un modulo del kernel che intercetta / controlla le chiamate di sistema e le relazioni su di esse. Vale a dire, l'opzione -w non esegue continuamente un ls , md5sum , o simili sulla destinazione, istruisce il modulo del kernel a segnalare i tentativi di effettuare chiamate di accesso ai file, come open () o creat (), sul bersaglio. Traducendo queste informazioni nella tua domanda, ciò significa che auditd non può rilevare le modifiche apportate dagli host remoti in questo modo. Queste chiamate di sistema si verificano sul sistema remoto.
Per eseguire il tipo di monitoraggio desiderato, è necessario configurare auditd sugli host remoti per monitorare localmente il mount nfs. Quello che dovresti fare è registrare tutti gli host che eseguono auditd su un host di log centrale, usando qualcosa come audisp-remote. Quindi i registri possono essere più facilmente ricercati e correlati.