Tengo varios servidores que montan un NFS compartido llamado / opt / WHATEVER from Server X.
El servidor X tiene auditd habilita con la regla: sudo / sbin / auditctl -w / opt / WHATEVER -p rwxa
Cuando ocurren eventos en el servidor X en esa carpeta, funciona muy bien. Sin embargo, cuando cualquier otra máquina accede o cambia algo, nada se reporta. El servidor X y otros tienen el mismo camino. es decir, / opt / WHATEVER
¿Cómo puede habilitar auditd para rastrear eventos desde NFS?
Al igual que la recursión, para entender auditd, primero debes entender auditd. Auditd es la interfaz de un módulo del kernel que intercepta / monitorea las llamadas al sistema e informa sobre ellas. Es decir, la opción -w no realiza continuamente un ls , md5sum , o similar en el destino, le indica al módulo del kernel que informe sobre los intentos de realizar llamadas de acceso a archivos, como abrir () o creat (), en el target. Al traducir esta información a su pregunta, esto significa que auditd no puede detectar los cambios que realizan los hosts remotos de esta manera. Esas llamadas al sistema están ocurriendo en el sistema remoto.
Para realizar el tipo de monitoreo que desea, deberá configurar auditd en los hosts remotos para monitorear el montaje nfs localmente. Lo que debe hacer entonces es registrar todos los hosts que ejecutan auditd en un host de registro central, utilizando algo como audisp-remote. Luego, los registros se pueden buscar y correlacionar más fácilmente.