Отследите любые изменения файла с помощью auditd

Я бы не стал использовать для этого только auditd. Для моих систем, совместимых с PCI и HIPAA, я использовал auditd для записи изменений в критических системных файлах и функциях, но использовал либо AIDE , либо Tripwire для фактических файловых- мониторинг честности и отчетность.

I just tried this on Centos 6.3 and got the same result. Reading the file tripped auditd but the append using echo did not.

Including x seems to work. Change -p war to -p warx and see if that works for you on Ubuntu.

auditd улавливает изменение в файле, но регистрируется как bash, выполняющий системный вызов, к сожалению, без указания пути к измененному файлу.

В качестве обходного пути для каждое правило для мониторинга файла, я включаю файл в имя ключа. Например:

-w /etc/login.txt -p wa -k login.txt-modified

Таким образом, записи журнала, инициированные с помощью echo> login.txt , будут легко найдены. В Red Hat есть открытая ошибка по этому поводу:

https://bugzilla.redhat.com/show_bug.cgi?id=1204937