В дистрибутиве нет auditd
, но можно найти скрипт сборки SlackBuild . (В будущем URL-адреса изменятся. )Создайте рабочий каталог и получите необходимые файлы.
mkdir /usr/local/src/audit && cd /usr/local/src/audit
wget http://people.redhat.com/sgrubb/audit/audit-2.3.6.tar.gz
wget https://slackbuilds.org/slackbuilds/14.2/system/audit.tar.gz
Распакуйте сценарий сборки и переместите исходный код в каталог сборки.
tar xf audit.tar.gz && rm audit.tar.gz
cd /usr/local/src/audit/audit
mv /usr/local/src/audit/audit-2.3.6.tar.gz /usr/local/src/audit/audit/
Важно прочитать примечания, связанные со сборкой.
less README
less README.SLACKWARE
Выполните сценарий сборки.
/usr/local/src/audit/audit/audit.SlackBuild
После успешной компиляции программного обеспечения сценарий устанавливает все двоичные файлы, библиотеки и файлы конфигурации, необходимые для выполнения программного обеспечения, внутри файла пакета. Используйте installpkg
.
installpkg /tmp/audit-2.3.6-x86_64_SBo.tgz
При необходимости удалите исходные, временные файлы и файлы пакета.
rm -rf /usr/local/src/audit/ /tmp/SBo/ /tmp/audit*
Подсистема аудита не включена в ядрах Slackware, поэтому необходимо также пересобрать ядро с поддержкой подсистемы аудита, чтобы использовать auditd
по назначению.
Отличный вопрос. К сожалению, документированного ответа, похоже, нет.
Файлkind
называется "тегом" и представляется элементом метаданных , связанным с полемkMDItemKind
. Его основная цель, по-видимому, заключается в классификации результатов поиска из Spotlight
.
Но, возможно, наиболее уместный ответ на ваш вопрос заключается в том, что нет никакого «почему» :Тег файла kind
создается не touch
, а каким-то другим процессом, который Apple решила не раскрывать. Ваши результаты (, которые воспроизводимы ), являются prima facie свидетельством того, что -по крайней мере в случае файлов, созданныхtouch
-тег kind
является произвольным артефактом процесса Apple с нет связи с созданным файлом.