[MASOCH-L] Ajuda com Audit

Rejaine Monteiro rejaine at bhz.jamef.com.br
Wed Jul 4 12:43:37 -03 2012


Galera, descobri o que estava faltando...
No /etc/sysconf/audit tinha que desativar o parâmetro abaixo (estava
como "yes")
AUDITD_DISABLE_CONTEXTS="no"
Após isso, passou a funcionar normalmente.


Em 04-07-2012 12:24, Rejaine Monteiro escreveu:
> Ola pessoal,
>
> Estou precisando habilitar o Audit em um servidor com Suse, para tentar
> identificar algumas pastas que estão sumindo misteriosamente, mas não
> estava funcionando.
>
> Daí tentei fazer um teste seguindo um tutorial para um exemplo básico
> usando audit para monitorar o arquivo /etc/passwd , só a título de
> teste, e nem isso também rolou...
>
> Eu executei o seguinte:
>
> Como root, executei:
> $ auditctl -w /etc/passwd -p war -k password-file
> Chequei que o auditd está rodando:
> $  chkconfig auditd
> auditd  on
>
> Abri outra console como usuário normal e executei:
> $ grep 'qqcoisa' /etc/passwd
> $ vi /etc/passwd
>
> Na console como root, executei o comando abaixo para tentar visualizar
> as tentativas de alterações no arquivo e nada aparece:
>
> $ ausearch -f /etc/passwd
> <no matches>
> $ ausearch -k password-file
> <no matches>
>
> Enfim, o que estou fazendo errado??
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>   


-- 
Rejaine da Silveira Monteiro
Suporte-TI
Jamef Encomendas Urgentes
Matriz - Contagem/MG
Tel: (31) 2102-8854
www.jamef.com.br




More information about the masoch-l mailing list