主页 / server / 问题 / 1012093
Accepted
user438713
Asked: 2020-04-14 05:28:57 +0800 CST

我正在尝试设置一些 auditd 规则,但收到错误 -F missing operation for auid

  • 772

我正在尝试在 /etc/audit/audit.rules 中设置以下规则

-a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

这没有用,所以我尝试直接从命令行执行它:

auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!=4294967295 -k delete

但我收到以下错误: -F 缺少 auid 操作

有人可以指导我如何解决这个问题吗?

linux centos ubuntu hardening auditd

1 个回答

  1. Best Answer

    执行上述行会导致大于号>被您的 shell 解释为重定向运算符,大概是bash. 出于这个原因,for 的操作auid丢失了,因为之后>的所有内容都不再是命令的一部分。=您可能会在当前目录中看到一个名为的文件。

    >要正确执行,您必须像这样逃跑:

    auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid\>= 1000 -F auid!=4294967295 -k delete

    或像这样:

    auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F "auid>=1000" -F auid!=4294967295 -k delete
    • 2

相关问题