<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Balloon Text Char";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        mso-fareast-language:EN-US;}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
span.BalloonTextChar
        {mso-style-name:"Balloon Text Char";
        mso-style-priority:99;
        mso-style-link:"Balloon Text";
        font-family:"Tahoma","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-GB" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoPlainText">Hi Steve,<o:p></o:p></p>
<p class="MsoPlainText">There are no mount points anywhere in that path apart from at the top level. I'm 99% sure there were no sym links either but that path has since been removed so I can't be completely sure.<o:p></o:p></p>
<p class="MsoPlainText">To make things a bit simpler I can reproduce it with a much shorter path and definitely no sym links within the path:<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]# auditctl -l<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/etc/audit (0xa) perm=wa key=auditd_configuration<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/etc/audisp (0xb) perm=wa key=auditd_configuration<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always watch=/etc/libaudit.conf perm=wa key=auditd_configuration<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always watch=/etc/sysconfig/auditd perm=wa key=auditd_configuration<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,never dir=/etc/lvm/cache (0xe) syscall=all<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,never dir=/opt (0x4) syscall=all<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,never dir=/tmp (0x4) syscall=all<o:p></o:p></p>
<p class="MsoPlainText"><b>LIST_RULES: exit,never dir=/naab1 (0x6) syscall=all<o:p></o:p></b></p>
<p class="MsoPlainText">LIST_RULES: exit,never dir=/naab2 (0x6) syscall=all<o:p></o:p></p>
<p class="MsoPlainText"><b>LIST_RULES: exit,never dir=/ab1 (0x4) syscall=all<o:p></o:p></b></p>
<p class="MsoPlainText">LIST_RULES: exit,never dir=/ab2 (0x4) syscall=all<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,never dir=/usr/openv/netbackup (0x14) syscall=all<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always perm=a key=file_attributes<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always arch=3221225534 (0xc000003e) a1=1074292226 (0x40086602) key=file_attributes syscall=ioctl<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always arch=3221225534 (0xc000003e) a1=-2146933247 (0x80086601) key=file_attributes syscall=ioctl<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always arch=3221225534 (0xc000003e) exit=-13 (0xfffffff3) key=invalid_logical_access syscall=open<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/bin (0x4) perm=wa key=bin_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/boot (0x5) perm=wa key=boot_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/etc (0x4) perm=wa key=etc_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/home (0x5) perm=wa key=home_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/lib (0x4) perm=wa key=lib_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/lib64 (0x6) perm=wa key=lib64_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/root (0x5) perm=wa key=root_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/sbin (0x5) perm=wa key=sbin_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/usr (0x4) perm=wa key=usr_modification<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/var/spool/at (0xd) perm=wa key=misc_var<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always dir=/var/spool/cron (0xf) perm=wa key=misc_var<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,never dir=/var (0x4) syscall=all<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always arch=3221225534 (0xc000003e) key=dir_operations syscall=mkdir,rmdir,unlinkat<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always arch=3221225534 (0xc000003e) key=link_operation syscall=rename,link,unlink,symlink<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always arch=3221225534 (0xc000003e) key=special_device_creation syscall=mknod,mknodat<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always arch=3221225534 (0xc000003e) key=mount_operation syscall=mount,umount2<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exit,always arch=3221225534 (0xc000003e) key=kernel_module syscall=create_module,init_module,delete_module<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=CRED_ACQ (0x44f)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=CRED_DISP (0x450)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=CRYPTO_KEY_USER (0x964)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=CRYPTO_SESSION (0x967)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=LOGIN (0x3ee)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=USER_ACCT (0x44d)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=USER_AUTH (0x44c)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=USER_CMD (0x463)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=USER_END (0x452)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=USER_LOGIN (0x458)<o:p></o:p></p>
<p class="MsoPlainText">LIST_RULES: exclude,always msgtype=USER_START (0x451)<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]#<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]# mount|grep naab1<o:p></o:p></p>
<p class="MsoPlainText">/dev/mapper/VolGroupB01-abb_landing on /naab1 type ext4 (rw)<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]#<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]# ls -l /|grep naab1<o:p></o:p></p>
<p class="MsoPlainText">lrwxrwxrwx    1 root     root               6 Jun  6  2011 ab1 -> /naab1<o:p></o:p></p>
<p class="MsoPlainText">drwxr-x---    6 app app_users  4096 Aug 23 13:23 naab1<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]#<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]# touch /naab1/temp-file<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]# chmod 600 /naab1/temp-file<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]#<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]# tail -3 /var/log/audit/audit.log<o:p></o:p></p>
<p class="MsoPlainText">node=hostb001.domain type=SYSCALL msg=audit(1326711394.421:3737872): arch=c000003e syscall=268 success=yes exit=0 a0=ffffffffffffff9c a1=60d1d0 a2=180 a3=0 items=1 ppid=20688 pid=32510 auid=7382 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0
 sgid=0 fsgid=0 tty=pts0 ses=49941 comm="chmod" exe="/bin/chmod" key="file_attributes"<o:p></o:p></p>
<p class="MsoPlainText">node=hostb001.domain type=CWD msg=audit(1326711394.421:3737872):  cwd="/root"<o:p></o:p></p>
<p class="MsoPlainText">node=hostb001.domain type=PATH msg=audit(1326711394.421:3737872): item=0 name="/naab1/temp-file" inode=12 dev=fd:0d mode=0100600 ouid=0 ogid=0 rdev=00:00<o:p></o:p></p>
<p class="MsoPlainText">[root@hostb001 ~]#<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Does this make it a bit clearer? I look forward to your reply.<o:p></o:p></p>
<p class="MsoPlainText">Many thanks,<o:p></o:p></p>
<p class="MsoPlainText">Max<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><span lang="EN-US" style="mso-fareast-language:EN-GB">-----Original Message-----<br>
From: Steve Grubb [mailto:sgrubb@redhat.com] <br>
Sent: 13 January 2012 18:52<br>
To: linux-audit@redhat.com<br>
Cc: Max Williams<br>
Subject: Re: Path ignored but syscall event still logged</span></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">On Friday, January 13, 2012 11:46:58 AM Max Williams wrote:<o:p></o:p></p>
<p class="MsoPlainText">> Hi Steve,<o:p></o:p></p>
<p class="MsoPlainText">> Thanks for the reply. Yes and yes:<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> [root@host1 ~]# mount|grep ab<o:p></o:p></p>
<p class="MsoPlainText">> /dev/mapper/VolGroupCF00-abf_graph on /naab2 type ext4 (rw)
<o:p></o:p></p>
<p class="MsoPlainText">> /dev/mapper/VolGroupCF01-abf_icff on /naab1 type ext4 (rw)<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> [root@host1 ~]# ll /|grep ab<o:p></o:p></p>
<p class="MsoPlainText">> lrwxrwxrwx    1 root root               6 May  9  2011 ab1 -> /naab1<o:p></o:p></p>
<p class="MsoPlainText">> lrwxrwxrwx    1 root root               6 May  9  2011 ab2 -> /naab2<o:p></o:p></p>
<p class="MsoPlainText">> drwxrwx---    5 root ab_users  4096 May 20  2011 naab1<o:p></o:p></p>
<p class="MsoPlainText">> drwxrwx---    6 root ab_users  4096 Jun 29  2011 naab2<o:p></o:p></p>
<p class="MsoPlainText">> [root@host1 ~]#<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> How does that affect the the rule, which was for the actual mount
<o:p></o:p></p>
<p class="MsoPlainText">> point, not the sym link? LIST_RULES: exit,never dir=/naab1 (0x6)
<o:p></o:p></p>
<p class="MsoPlainText">> syscall=all<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Its OK for the top level dir to be a mount point. However, what about everything under it?<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">/naab1/serial/data/dir1/serial/dir2/abc_load/temp/some-app/.WORK-serial/1568280a-4eef7e3f-3873<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">Could data or dir1 be a mount point?  If anything under /naab1 is a mount point, then you have to tell the kernel to treat it as equivalent to the parent dir that you have the rule on. For example, suppose data was in fact a moint point
 and you mounted /dev/sda1 onto it. You would need to add the follwoing to your audit rules:<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-q  /naab1/serial/data,/dev/sda1<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">As for symlinks, I'm not sure that a recursive watch will follow the symlink. If for example, some-app was a symlink to /opt/some-app, I am pretty sure the watch will not follow over to the other device.<o:p></o:p></p>
<p class="MsoPlainText">You would have to add a watch on /opt/some-app to get events.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">The same thing applies for suppressing events.<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">-Steve<o:p></o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText"><o:p> </o:p></p>
<p class="MsoPlainText">> -----Original Message-----<o:p></o:p></p>
<p class="MsoPlainText">> From: Steve Grubb [mailto:sgrubb@redhat.com]<o:p></o:p></p>
<p class="MsoPlainText">> Sent: 13 January 2012 14:46<o:p></o:p></p>
<p class="MsoPlainText">> To: linux-audit@redhat.com<o:p></o:p></p>
<p class="MsoPlainText">> Cc: Max Williams<o:p></o:p></p>
<p class="MsoPlainText">> Subject: Re: Path ignored but syscall event still logged<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> On Thursday, January 12, 2012 09:45:59 AM Max Williams wrote:<o:p></o:p></p>
<p class="MsoPlainText">> > Sorry to bug you but is this issue I'm having a bug or have I made a
<o:p></o:p></p>
<p class="MsoPlainText">> > mistake in the rules? Is there another way I could exclude this
<o:p></o:p></p>
<p class="MsoPlainText">> > directory from auditd?<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> Looking back at the original...<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> /naab1/serial/data/dir1/serial/dir2/abc_load/temp/some-app/.WORK-<o:p></o:p></p>
<p class="MsoPlainText">> serial/1568280a-4eef7e3f-3873<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> Are there any mount points in that path? Or any symlinks pointing to
<o:p></o:p></p>
<p class="MsoPlainText">> other disk devices?<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> Thanks,<o:p></o:p></p>
<p class="MsoPlainText">> -Steve<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> ______________________________________________________________________<o:p></o:p></p>
<p class="MsoPlainText">> __ In order to protect our email recipients, Betfair Group use SkyScan
<o:p></o:p></p>
<p class="MsoPlainText">> from MessageLabs to scan all Incoming and Outgoing mail for viruses.<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> ______________________________________________________________________<o:p></o:p></p>
<p class="MsoPlainText">> __<o:p></o:p></p>
<p class="MsoPlainText">> <o:p></o:p></p>
<p class="MsoPlainText">> --<o:p></o:p></p>
<p class="MsoPlainText">> Linux-audit mailing list<o:p></o:p></p>
<p class="MsoPlainText">> <a href="mailto:Linux-audit@redhat.com"><span style="color:windowtext;text-decoration:none">Linux-audit@redhat.com</span></a><o:p></o:p></p>
<p class="MsoPlainText">> <a href="https://www.redhat.com/mailman/listinfo/linux-audit">
<span style="color:windowtext;text-decoration:none">https://www.redhat.com/mailman/listinfo/linux-audit</span></a><o:p></o:p></p>
</div>
<br clear="both">
________________________________________________________________________<BR>
In order to protect our email recipients, Betfair Group use SkyScan from <BR>
MessageLabs to scan all Incoming and Outgoing mail for viruses.<BR>
<BR>
________________________________________________________________________<BR>
</body>
</html>