Audit framework -- Ругается на 2.2 Audit syscalls

Я делал по
https://wiki.archlinux.org/index.php/Audit_framework
Ругается на 2.2 Audit syscalls
auditctl -a entry,always -S chmod - сообщает что это не верно.

Что я делаю не так ? гуглить пробовал не помогло.
Пожалуйста подскажите
С уважением, .
Bendalf
Что я делаю не так ? гуглить пробовал не помогло.
Пожалуйста подскажите
Если взялся осваивать linux, привыкай больше и вдумчиво читать.
И не нужно копипастить даже из Wiki, если не понимаешь суть ... и там бывают ошибки/описки или устарело. Если получаешь ошибку на веденную команду, значит железный мозг тебя не понимает - смотри man - вот найдешь там событие entry? - нет, только exit, плюс к этому можно логировать только при успешном завершении вызова или только в определенной директории, ну и можно добавить и битность (32 или 64) и так далее - а значит будет что то типа такого (написал специально много лишнего)
auditctl -a always,exit -F arch=b64 -S chmod -F success=0 -F path=/etc
А вообще при неправильном использовании можешь сильно затормозить систему - будет постоянно что то писать в логи.

А вообще все это лишнее и не нужное .... не то изучаешь.
Ошибки не исчезают с опытом - они просто умнеют
vasek
не то изучаешь.
мне интересно попробовать всё.
в манах как правило нет примеров как применять. вы сказали "в вики может быть неверно или устарело"
потому то я и поинтересовался здесь.
спасибо что откликнулись
С уважением, .
Не забываем поставить РЕШЕНО
Ошибки не исчезают с опытом - они просто умнеют
vasek
Не забываем поставить РЕШЕНО
попробую и сделаю. спасибо.
С уважением, .
мне нужно отловить
изменение "время последней модификации"
сравнить с заданным(по файлу лежащему в бекапе)
если отличается
заменить наблюдаемый файл из резервной копии.

я нашел в https://jlk.fjfi.cvut.cz/arch/manpages/man/syscalls.2
вроде подходящее
https://jlk.fjfi.cvut.cz/arch/manpages/man/fstat64.2.en
и
https://jlk.fjfi.cvut.cz/arch/manpages/man/lstat64.2.en

мне хотя бы один пример нужен рабочий. по манам я не могу понять как правильно писать такие правила.
В вики рассмотрена только запись в файл. Но не подмена моего файла фигнёй.

может это не совсем правильная схема.
auditctl обнаруживает. дает сигнал systemd и оповещает меня почтой локально. systemd производит замену.

Уже несколько раз проморгал когда пакман мне переписал конфиги.
Потом несколько вечеров убил чтобы вернуть как было
С уважением, .
Bendalf
auditctl обнаруживает. дает сигнал systemd и оповещает меня почтой
Вот зачем такие сложности ... всегда усложняешь. Вот зачем тебе нужен этот комбайн auditctl - ты что часто смотришь? и везде?
Не проще использовать find для поиска модифицированных файлов и только в важных директориях, например, /etc.
Начни с этого - как это можно делать, посмотри, например, это (ну и гугли или составь свою команду)

PS - специально нашел для тебя эту ссылку - там в конце список, который может заинтересовать ...
Ошибки не исчезают с опытом - они просто умнеют
vasek
зачем такие сложности
мой конструируемый вариант отлавливает по syscalls , то есть в мгновение ока..
syscalls они в оперативке. тк это вызовы ядра.
find будет мурыжить hdd .
и пока он найдет я уже введу какую то команду в терминале и оно всё искорёжит, основываясь на неверных конфигах.

за наводку спасибо. и сама страница и ссылки хороши. как раз для чайников как я )
С уважением, .
 
Зарегистрироваться или войдите чтобы оставить сообщение.