Здравствуйте, искал везде ответ, но не нашел.
Ubuntu 22.04.3
Устанавливаю audit и добавляю правило:
-w /home -p wrxa -k rule-note
Перезапускаю службу:
sudo systemctl stop auditd.service;
sudo systemctl start auditd.service;
создаю пустой файл:
touch /home/user/file1
И в журнале /var/log/audit/audit.log
нет записей.
Потом меняю конфиг на такой:
-w /tmp -p wrxa -k rule-note
Делаю перезапуск и создаю пустой файл:
touch /tmp/file1
И записи появляются.
Ошибок в journalctl -u auditd.servide нет
Выключал apparmor:
sudo systemctl stop apparmor.service
И это тоже не помогает.
SELinux не стоит.
Пробовал делать права 755 на /home/user и назначать владельцем root(не помогло)
audit запускается под root как демон.
Помогите плиз!