autitd. каталог /home игнорируется

[prohorp]

Здравствуйте, искал везде ответ, но не нашел.
Ubuntu 22.04.3
Устанавливаю audit и добавляю правило:
-w /home -p wrxa -k rule-note
Перезапускаю службу:
sudo systemctl stop auditd.service;
sudo systemctl start auditd.service;
создаю пустой файл:
touch /home/user/file1
И в журнале /var/log/audit/audit.log
нет записей.

Потом меняю конфиг на такой:
-w /tmp -p wrxa -k rule-note
Делаю перезапуск и создаю пустой файл:
touch /tmp/file1
И записи появляются.
Ошибок в journalctl -u auditd.servide нет

Выключал apparmor:
sudo systemctl stop apparmor.service
И это тоже не помогает.
SELinux не стоит.
Пробовал делать права 755 на /home/user и назначать владельцем root(не помогло)
audit запускается под root как демон.

Помогите плиз!

[БТР]

Пробовал делать права 755 на /home/user и назначать владельцем root(не помогло)

Ну и зря. Оптимальный вариант теперь - создать нового пользователя и работать под его учётной записью. Никогда не запускайте программы и команды от root, если не понимаете, к каким последствиям это может привести.

создаю пустой файл: touch /home/user/file1

Нужно копировать вывод из терминала полностью, чтобы было видно, от какой учётной записи запускаете команду и какой результат выполнения.

[prohorp]

Могу выслать лог и показать как я все делаю, но проблема на различных ubuntu.
Уверен, что если скачаете новый дистрибутив и установите аудит - не сможете отслеживать ничего в директории /home

[Usermaster]

Ну и зря. Оптимальный вариант теперь - создать нового пользователя и работать под его учётной записью

Ну если он менял права без ключа "-R" то можно права на каталог обратно вернуть.
А вот если с ключом "-R" то да, проще пристрелить.

[Usermaster]

Уверен, что если скачаете новый дистрибутив и установите аудит - не сможете отслеживать ничего в директории /home

Не знаю что это за фигня, ни разу не пльзовался.
Если эта фиговина работает как служба от рута, она может в любой каталог залезть.

Может правило не верное?
https://habr.com/ru/companies/selectel/articles/267833/

[prohorp]

Коллега подсказал.
Причина в настройке аудита.
Ответ находится тут:
https://bugs.launchpad.net/ubuntu/+source/audit/+bug/2030868

After I changed ProtectHome=true to ProtectHome=read-only， the rule about /home/ubuntu/abc can be loaded as well.

[F12]

Причина в настройке аудита.

- в интернете полно руководств как конфигурировать демон, и как пользоваться утилитами входящими в пакет auditd
   ... вот например тут почитай