I just tried this on Centos 6.3 and got the same result. Reading the file tripped auditd but the append using echo did not.
Including x seems to work. Change -p war
to -p warx
and see if that works for you on Ubuntu.
auditd улавливает изменение в файле, но регистрируется как bash, выполняющий системный вызов, к сожалению, без указания пути к измененному файлу.
В качестве обходного пути для каждое правило для мониторинга файла, я включаю файл в имя ключа. Например:
-w /etc/login.txt -p wa -k login.txt-modified
Таким образом, записи журнала, инициированные с помощью echo> login.txt
, будут легко найдены. В Red Hat есть открытая ошибка по этому поводу: