我想跟踪 GNU/Linux 机器上的重要系统更改,例如禁用 PaX、启用流量转发、ICMP 重定向、更改 printk 详细级别等。一般来说,所有这些操作都基于 /proc/sys/kernel/* 文件的更改。到目前为止,我还没有找到任何审计 procfs 的方法。也许使用 /proc/sys/kernel/* 值作为第一个参数(a0)为“写入”系统调用设置监视规则是可行的方法......只是想知道。但是,无法在 a0-3 auditd rules -F 参数中使用通配符,因此在最坏的情况下,我必须为该目录中的每个重要文件创建单独的规则。我会感谢任何有关此问题的提示,在此先感谢。