That definitely helps!  I already planned to make this hierarchy have its own partition.<br>
<br>
This also gets around the issue of having to know the uid or gid. 
We plan to move to a Fedora Directory Server based solution and thus
creating rules for each user was going to be a problem.<br>
<br>
Thanks,<br>
-Mont<br>
<br><br><div><span class="gmail_quote">On 11/16/05, <b class="gmail_sendername">Steve G</b> <<a href="mailto:linux_4ever@yahoo.com">linux_4ever@yahoo.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
>I've been looking at auditd/auditctl and it seems like only individual<br>>files or directories can be watched, but not directory trees.<br><br>This is correct. The patches that do file system auditing were rejected and we
<br>were asked to try to combine the hooks with inotify. That was done. I did bring<br>this up with the audit working group that we should look into this capability<br>since it seems useful. So, to sum it up...it would need kernel work and that will
<br>take a while.<br><br>There is a workaround that may help. If your samba share is on its own partition,<br>then you can use the devmajor & minor fields in creating an audit rule. For<br>example, suppose I wanted to do this for /tmp:
<br><br>[root@endeavor ~]# mount | grep tmp<br>none on /dev/shm type tmpfs (rw)<br>/dev/hda8 on /tmp type ext3 (rw)<br>[root@endeavor ~]# stat /dev/hda8 | grep type<br>Device:
dh/13d  Inode:
919         Links:
1     Device type: 3,8<br><br>So the rule would be:<br>auditctl -a exit,always -S open -F devmajor=3 -F devminor=8<br><br>To test:<br>vi /tmp/gconfd-sgrubb/<br>ausearch -f gconfd-sgrubb<br><br>time->Wed Nov 16 19:17:28 2005
<br>type=PATH msg=audit(1132186648.942:633): name="/tmp/gconfd-sgrubb/" flags=103<br>inode=16419 dev=03:08 mode=040700 ouid=4325 ogid=4325 rdev=00:00<br>type=CWD msg=audit(1132186648.942:633):  cwd="/root"
<br>type=SYSCALL msg=audit(1132186648.942:633): arch=40000003 syscall=5 success=yes<br>exit=3 a0=92152b0 a1=18800 a2=3 a3=18800 items=1 pid=2937 auid=4325 uid=0 gid=0<br>euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 comm="vim" exe="/usr/bin/vim"
<br><br>So this works. Hope this helps...<br><br>-Steve<br><br><br><br><br>__________________________________<br>Yahoo! Mail - PC Magazine Editors' Choice 2005<br><a href="http://mail.yahoo.com">http://mail.yahoo.com</a><br>
</blockquote></div><br>