<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.6000.16640" name=GENERATOR></HEAD>
<BODY>
<DIV><FONT face=Arial size=2><SPAN 
class=333201420-22052008>Hello,</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN 
class=333201420-22052008></SPAN></FONT> </DIV>
<DIV><FONT face=Arial size=2><SPAN class=333201420-22052008>I need to log file 
edit attempts when a user doesn't have permission to edit a specific file. For 
example, a non-root user attempts to edit "/var/log/audit/audit'log" which 
has a permission setting of 640. Although the user won't be able to edit the 
file (permission denied) - I'd still like to log the attempt. Here's a 
snippet of my audit.rules file:</SPAN></FONT></DIV>
<DIV><FONT face=Arial size=2><SPAN class=333201420-22052008></SPAN></FONT><FONT 
face=Arial size=2><SPAN class=333201420-22052008></SPAN></FONT> </DIV>
<DIV><FONT><SPAN class=333201420-22052008>
<P><FONT face=Arial size=2>## unsuccessful creation</FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S creat -S mkdir -S mknod -S link -S 
symlink -F exit=-13 -k creation</FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S mkdirat -S mknodat -S linkat -S 
symlinkat -F exit=-13 -k creation</FONT></P>
<P><FONT face=Arial size=2></FONT></P>
<P><FONT face=Arial size=2>## unsuccessful open</FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S open -F exit=-13 -k open</FONT></P>
<P><FONT face=Arial size=2>## unsuccessful close</FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S close -F exit=-13 -k 
close</FONT></P>
<P><FONT face=Arial size=2>## unsuccessful modifications</FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S rename -S truncate -S ftruncate -F 
exit=-13 -k mods</FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S renameat -F exit=-13 -k 
mods</FONT></P>
<P><FONT face=Arial size=2>## unsuccessful deletion</FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S rmdir -S unlink -F exit=-13 -k 
delete </FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S unlinkat -F exit=-13 -k 
delete</FONT></P>
<P><FONT face=Arial size=2>## unauthorized change directory (cd)</FONT></P>
<P><FONT face=Arial size=2>-a exit,always -S chdir -F path=/var/log/audit -k 
evil2-cd</FONT></P>
<P><SPAN class=333201420-22052008><FONT face=Arial size=2>## Watch 
Files</FONT></SPAN></P>
<P><FONT face=Arial size=2>-w /var/log/audit/audit.log -p rwxa -k 
audit-log2</FONT></P>
<P><FONT face=Arial size=2></FONT> </P>
<P><SPAN class=333201420-22052008><FONT face=Arial size=2>Thanks 
</FONT></SPAN></P>
<P><SPAN class=333201420-22052008><FONT face=Arial 
size=2>-Jim</FONT></SPAN></P></SPAN></FONT></DIV></BODY></HTML>