Похоже, в моем / etc / security / audit_control
была опечатка:
#
# $FreeBSD: releng/10.3/contrib/openbsm/etc/audit_control 293161 2016-01-04 16:32:21Z brueffer $
#
dir:/var/audit
dist:off
flags:all
minfree:5
naflags:all
policy:cnt,argv,arge,seq,
filesz:2M
expire-after:10M
Эта конфигурация создает безумное количество контрольных журналов.
В Linux Audit они явно присутствуют в полях a0
, a1
, a2
и a3
, тогда как в формате OpenBSM они хранятся в токенах аргументов (см. audit.log (5)
).
Например:
header, 108,11, close (2), 0, Mon Aug 15 01:47:53 2016, + 865 мс аргумент, 1,0x6, fd {{1 }} атрибут, 644, корень, колесо, 88,3148396,6394391 субъект, -1, корень, колесо, корень, колесо, 1721,0,0,0.0.0.0 возврат, успех , 0 трейлер, 108
Если у них есть одна учетная запись, этого должно быть достаточно, но если у каждого из ваших родителей есть собственный логин , вы можете проверить, что группы настроены одинаково, особенно если они совместно используют файлы и используют разрешения группы для чтения и записи в некотором общем каталоге. Вы можете добавить группу с помощью groupadd
и использовать usermod
, чтобы добавить такую группу к учетным записям, созданным useradd
(если вы сначала выполните groupadd
вы также можете указать группу в качестве опции для useradd
)