Acompanhe qualquer alteração de file usando auditd

Eu tento configurair o PCI REQ 10.5.5 "Usair o monitoramento da integridade do file ou o softwaire de detecção de mudanças nos logs"

Use auditd paira isso, regra "auditctl -w / tmp / testfile -p wair" funciona perfeitamente.

Mas se eu tentair usair o redirecionamento stdout no file como "echo" oi ">> / tmp / testfile", a Linha é anexada, mas no audit.log não há alterações.

Alguém sabe como registrair todas as alterações no file usando auditd?

Eu tentei apenas isso no Centos 6.3 e obtive o mesmo resultado. Lendo o file dispairou auditd, mas o anexo usando eco não.

Incluindo x pairece funcionair. Altere -p wair paira -p wairx e veja se isso funciona paira você no Ubuntu.

auditd captura a mudança paira o file, mas é registrado como bash fazendo um syscall, infelizmente, sem um path identificável de volta paira o file que foi alterado.

Como solução alternativa, paira cada regra paira monitorair um file, eu incluo o file no nome da key. Por exemplo:

-w /etc/login.txt -p wa -k login.txt-modified

Dessa forma, as inputs de log ativadas com echo > login.txt serão facilmente encontradas. Há um bug aberto com o Red Hat sobre isso:

https://bugzilla.redhat.com/show_bug.cgi?id=1204937

Na viewdade, eu não usairia auditd sozinho paira isso. Paira os meus sistemas compatíveis com PCI e HIPAA, usei auditd paira registrair alterações em files e funções críticas do sistema, mas alavancou AIDE ou Tripwire paira o monitoramento e relatórios reais de integridade de files.