touch -m 'faketime' somefile などのコマンドの実行など、より洗練されたシナリオに焦点を当てた監査を GNU/Linux ボックスに展開したいと考えています。私はexecを追跡し、通常のタッチとタイムスタンプ変更フラグ付きのタッチの違いを見つけました。これらはそれぞれ次のとおりです。
utimes("/proc/self/fd/0", NULL) = 0
utimes("/proc/self/fd/0", {{1364383142, 0}, {1364383160, 875693}}) = 0
そのため、utimes syscall の不審な発生を簡単に見つけることができるようです。2 番目 (a1) の引数は NULL でなければなりません。次の監査ルールを設定しようとしました:
-a exit,always -F arch=b32 -S utimes -F a1!=0 -k TIMESTAMP_TAMPERING
ただし、電話に出ません。値 (NULL) のテキスト表現は、a1-4 引数で auditd によって受け入れられません。少なくとも、それを達成しようとして問題が発生しました。助言がありますか?前もって感謝します。