<div dir="ltr"><div dir="ltr">Ondra N. <<a href="mailto:ondrysak@gmail.com">ondrysak@gmail.com</a>><br>    <br>po 8. 4. 14:51 (před 3 dny)<br>    <br>komu: Paul<br>Hello,<br><br>below I enclose a reproducer script, hope it helps.<br><br>#!/bin/bash<br>auditctl -D -k test_key<br>mkdir -p /tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw<br>auditctl -w /tmp/random_folder -p wa -k test_key<br>rm -f /tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/FP6c2UlcsH5rfInFDyM.file<br>echo "hello" > /tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/sSmcW4DT7bZ3XS1qcf.file<br>python3 <<< "import os; os.rename('/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/sSmcW4DT7bZ3XS1qcf.file','/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/FP6c2UlcsH5rfInFDyM.file')"<br>ausearch -i -k test_key | tail<br>ausearch -k test_key --extra-obj2 --format csv | tail | grep renamed<br><br>Will hopefully try different kernel/userspace combinations later this week.<br><br>Another thing I noticed is that for me when the file already exists it works as expected. <br><br>Commenting out the line `rm -f /tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/FP6c2UlcsH5rfInFDyM.file` from the reproducer script yields expected result after second run.<br><br>There is a difference in the output in raw that is prolly responsible for the field being empty.<br><br>WORKS OK file existed before obj2 column is populated with correct value<br><br>type=PROCTITLE msg=audit(04/08/2019 13:09:54.586:232192) : proctitle=python3<br>type=PATH msg=audit(04/08/2019 13:09:54.586:232192) : item=4 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/FP6c2UlcsH5rfInFDyM.file inode=134231847 dev=fd:01 mode=file,644 ouid=root ogid=root rdev=00:00 objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=PATH msg=audit(04/08/2019 13:09:54.586:232192) : item=3 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/FP6c2UlcsH5rfInFDyM.file inode=134231846 dev=fd:01 mode=file,644 ouid=root ogid=root rdev=00:00 objtype=DELETE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=PATH msg=audit(04/08/2019 13:09:54.586:232192) : item=2 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/sSmcW4DT7bZ3XS1qcf.file inode=134231847 dev=fd:01 mode=file,644 ouid=root ogid=root rdev=00:00 objtype=DELETE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=PATH msg=audit(04/08/2019 13:09:54.586:232192) : item=1 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/ inode=134237250 dev=fd:01 mode=dir,755 ouid=root ogid=root rdev=00:00 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=PATH msg=audit(04/08/2019 13:09:54.586:232192) : item=0 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/ inode=134237250 dev=fd:01 mode=dir,755 ouid=root ogid=root rdev=00:00 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=CWD msg=audit(04/08/2019 13:09:54.586:232192) :  cwd=/tmp<br>type=SYSCALL msg=audit(04/08/2019 13:09:54.586:232192) : arch=x86_64 syscall=rename success=yes exit=0 a0=0x7ffbd89d3510 a1=0x7ffbd89d35a8 a2=0xffffffff a3=0x7ffd9b558b20 items=5 ppid=27771 pid=27779 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=10320 comm=python3 exe=/opt/rh/rh-python36/root/usr/bin/python3.6 key=test_key<br><br><br>DOES NOT WORK OK file did not exist before and obj2 column remains empty<br><br>type=PROCTITLE msg=audit(04/08/2019 13:12:12.685:232285) : proctitle=python3<br>type=PATH msg=audit(04/08/2019 13:12:12.685:232285) : item=3 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/FP6c2UlcsH5rfInFDyM.file inode=134231846 dev=fd:01 mode=file,644 ouid=root ogid=root rdev=00:00 objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=PATH msg=audit(04/08/2019 13:12:12.685:232285) : item=2 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/sSmcW4DT7bZ3XS1qcf.file inode=134231846 dev=fd:01 mode=file,644 ouid=root ogid=root rdev=00:00 objtype=DELETE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=PATH msg=audit(04/08/2019 13:12:12.685:232285) : item=1 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/ inode=134237250 dev=fd:01 mode=dir,755 ouid=root ogid=root rdev=00:00 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=PATH msg=audit(04/08/2019 13:12:12.685:232285) : item=0 name=/tmp/random_folder/rzadilLpW4NmB6r2/QzTTUUW6UskKVI9QSk3R/Yrts9nCu0tHVLmLlC3/USAoxzJGnfVwFqOw/ inode=134237250 dev=fd:01 mode=dir,755 ouid=root ogid=root rdev=00:00 objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>type=CWD msg=audit(04/08/2019 13:12:12.685:232285) :  cwd=/tmp<br>type=SYSCALL msg=audit(04/08/2019 13:12:12.685:232285) : arch=x86_64 syscall=rename success=yes exit=0 a0=0x7f52063c2510 a1=0x7f52063c25a8 a2=0xffffffff a3=0x7ffdb7446700 items=4 ppid=28069 pid=28078 auid=root uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts0 ses=10320 comm=python3 exe=/opt/rh/rh-python36/root/usr/bin/python3.6 key=test_key <br></div><div dir="ltr"><br></div><div>Hope it helps<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ne 7. 4. 2019 v 10:18 odesílatel Steve Grubb <<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Fri, 5 Apr 2019 16:30:32 +0200<br>
"Ondra N." <<a href="mailto:ondrysak@gmail.com" target="_blank">ondrysak@gmail.com</a>> wrote:<br>
> it seems that the option fails to display the second object for rename<br>
> action.<br>
<br>
To catch everyone up, it turns out this is audit-2.8.4 and kernel<br>
3.10.0-957.el7.x86_64.<br>
<br>
> interactive format correctly show renaming the file<br>
> 5M2w0d4eagxxig9KYM5.file to DyTbnH12dMV1nQsOxU.file<br>
> <br>
> ausearch -k test-ra -i<br>
> <br>
> type=PROCTITLE msg=audit(04/05/2019 13:57:22.489:110873) :<br>
> proctitle=python3 populate_fs.py rename<br>
> type=PATH msg=audit(04/05/2019 13:57:22.489:110873) : item=3<br>
> name=/tmp/rnd_pop/I2wt8yFylHdNJdX8/sesvPVcmFUDDBp1Pc/5yqohyxiGYwSzXwYRN2/93qyvIU9V2O8dsDXSdQP/csE7ryqvCWMBd8ASyJ3e/DyTbnH12dMV1nQsOxU.file<br>
> inode=184553858 dev=fd:01 mode=file,644 ouid=root ogid=root rdev=00:00<br>
> objtype=CREATE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>
<br>
There seems to be a missing DELETE path record here. What I see on my<br>
system is 2 PARENT records, 2 DELETE records, and 1 CREATE record. The<br>
two parents is for both items (obj1 & obj2). Then both objects get<br>
deleted, and we are left with 1 object being created. This last create<br>
record is what OBJ2 would be. Without the second DELETE, we wind<br>
up on the wrong record looking for 'name'.<br>
<br>
Looking at the inodes, what is missing is the DELETE for the inode that<br>
is being replaced with the tmp copy. Funny thing is, this works fine<br>
for me on the same user space and kernel.<br>
<br>
Can you pass along a simplified reproducer? Shell script would be<br>
preferred.<br>
<br>
Thanks,<br>
-Steve<br>
<br>
> type=PATH msg=audit(04/05/2019 13:57:22.489:110873) : item=2<br>
> name=/tmp/rnd_pop/I2wt8yFylHdNJdX8/sesvPVcmFUDDBp1Pc/5yqohyxiGYwSzXwYRN2/93qyvIU9V2O8dsDXSdQP/csE7ryqvCWMBd8ASyJ3e/5M2w0d4eagxxig9KYM5.file<br>
> inode=184553858 dev=fd:01 mode=file,644 ouid=root ogid=root rdev=00:00<br>
> objtype=DELETE cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>
> type=PATH msg=audit(04/05/2019 13:57:22.489:110873) : item=1<br>
> name=/tmp/rnd_pop/I2wt8yFylHdNJdX8/sesvPVcmFUDDBp1Pc/5yqohyxiGYwSzXwYRN2/93qyvIU9V2O8dsDXSdQP/csE7ryqvCWMBd8ASyJ3e/<br>
> inode=184554064 dev=fd:01 mode=dir,755 ouid=root ogid=root rdev=00:00<br>
> objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>
> type=PATH msg=audit(04/05/2019 13:57:22.489:110873) : item=0<br>
> name=/tmp/rnd_pop/I2wt8yFylHdNJdX8/sesvPVcmFUDDBp1Pc/5yqohyxiGYwSzXwYRN2/93qyvIU9V2O8dsDXSdQP/csE7ryqvCWMBd8ASyJ3e/<br>
> inode=184554064 dev=fd:01 mode=dir,755 ouid=root ogid=root rdev=00:00<br>
> objtype=PARENT cap_fp=none cap_fi=none cap_fe=0 cap_fver=0<br>
> type=CWD msg=audit(04/05/2019 13:57:22.489:110873) :<br>
> cwd=/push_agent/src/main/python/scripts<br>
> type=SYSCALL msg=audit(04/05/2019 13:57:22.489:110873) : arch=x86_64<br>
> syscall=rename success=yes exit=0 a0=0x7f3259691b78 a1=0x7f3259691d70<br>
> a2=0xffffffff a3=0x7f3263f160e0 items=4 ppid=27421 pid=7653 auid=root<br>
> uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root<br>
> fsgid=root tty=pts1 ses=5549 comm=python3<br>
> exe=/opt/rh/rh-python36/root/usr/bin/python3.6 key=test-ra<br>
> <br>
> but csv format shows just empty column where the info about the<br>
> object2 should be.<br>
> <br>
> ausearch -k test-ra --format csv --extra-obj2<br>
> <br>
> ,SYSCALL,04/05/2019,13:57:22,110873,audit-rule,5549,root,root,priviliged-acct,renamed,success,/tmp/rnd_pop/I2wt8yFylHdNJdX8/sesvPVcmFUDDBp1Pc/5yqohyxiGYwSzXwYRN2/93qyvIU9V2O8dsDXSdQP/csE7ryqvCWMBd8ASyJ3e/5M2w0d4eagxxig9KYM5.file,184553858,,file,/opt/rh/rh-python36/root/usr/bin/python3.6<br>
> <br>
> is this desired behaviour?<br>
<br>
</blockquote></div>