Просмотр релевантной информации о доступе к файлам из журнала аудита
Простой ответ: в вашей системе слишком старые пакеты (да, усиленные не для игрового компьютера, а для старых стабильных серверов) для вашего нового модного графического процессора, ядро хорошее, но нужна Mesa минимально 13.0 лучше 17.0+ , также новейшая libdrm и llvm
PS: вместо xorg-video-ati вам понадобится драйвер xorg-video-amdgpu , а также llvm-3.9 +
или вы можете попробовать бинарные драйверы AMDGPU-PRO от AMD.
Существуют инструменты пользовательского пространства для фильтрации событий аудита и создания отчетов. См. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-Creating_Audit_Reports.html для некоторых примеров.
В вашем случае вы можете попробовать что-то вроде:
ausearch --start today --success no --file /etc/file.txt | aureport --file
, чтобы увидеть все неудачные попытки доступа к файлу за текущий день.
Дополнительные параметры см. На страницах справочника ausearch и aureport.
Предполагая, что у вас установлен auditd, что кажется вероятным, поскольку вы создали правило с помощью auditctl, вы можете выполнить поиск по uid.
Узнайте uid с помощью:
id user1
id user2
id user3
Проверьте ведение журнала, выбрав соответствующий userid.
cat /var/log/audit/audit.log | grep uid=1000
Предполагается, что 1000 - это пользователь, для которого вы хотите посмотреть fileaccess. Это покажет вам, например, когда пользователь 1000 просматривал проверенный файл file.txt, в данном случае с помощью cat.
type=SYSCALL msg=audit(1484859413.000:83): arch=c000003e syscall=2 success=yes exit=3 a0=7ffd50e9eefb a1=0 a2=20000 a3=7ffd50e9c8d0 items=1 ppid=28517 pid=28545 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=435 comm="cat" exe="/bin/cat" key=(null) type=PATH msg=audit(1484859413.000:83): item=0 name="test.txt" inode=4847 dev=08:01 mode=0100644 ouid=1000 ogid=1000 rdev=00:00 nametype=NORMAL
Надеюсь, это было то, что вы искали!