Forum Ubuntu-it

Ciao.

Mi trovo di fronte ad un piccolo problema.
Questo è il file audit.rules che utilizzo:

-D
-f 1
-b 4096
-r 0
-a entry,always -S mkdir
-w /dati/ -p w -k Write
-w /dati/ -p r -k Read
-e 1

Il problema è che le due regole che controllano la directory dati vengono tolte automaticamente.

Posto i log di audit stesso per spiegare meglio

Avvio audit e nel log trovo che la regola viene aggiunta
type=CONFIG_CHANGE msg=audit(10/10/2013 16:37:14.728:2846) : auid=root ses=51 op="add rule" key=Write list=exit res=1

Dopo un po di tempo totalmente random la regola viene tolta
type=CONFIG_CHANGE msg=audit(10/10/2013 17:30:38.553:3824) : op="remove rule" dir=/dati key=Write list=exit res=1

Alle 16:37 ho riavviato il demone auditd e autonomamente il sistema alle 17:30 le ha rimosse, ma solo quelle due tutte le altre regole restano attive.
Ho provato a modificare l'ultima riga in -e 2 per rendere non modificabili le regole caricate da auditd ma è inutile dopo un po le rimuove lo stesso.

Qualche idea o suggerimento ?
Grazie