audit=1RHEL5 및 RHEL6에서는 부팅 프로세스가 시작되기 전에 커널 수준 감사가 시작되도록 추가할 수 있습니다 auditd. 이제 RHEL7에서는 audit=1이것을 커널 매개변수로 언급한 내용을 찾을 수 없습니다 .
부팅 시 커널/시스템 감사에 대한 권위 있는 문서를 본 사람이 있습니까? auditRPM을 설치하고 재부팅 하면 충분합니까 systemctl enable auditd?
답변1
RHEL 7.x감사 문서커널 매개변수에 대한 언급이 전혀 없습니다(어쨌든 RHEL 6.x 문서에서 언급한 줄 알았는데 지금은 찾을 수 없는 것 같습니다).
그러나 auditdRHEL 7.4 시스템의 패키지 매뉴얼 페이지에는 다음이 포함되어 있습니다.audit-2.7.6-3.el7.x86_64
audit=1감사 데몬이 시작되기 전에 실행 중인 모든 프로세스가 커널에 의해 감사 가능한 것으로 표시되도록 시작 매개변수를 추가해야 합니다 . 그렇지 않으면 일부 프로세스가 올바르게 감사되지 않습니다.
따라서 릴리스 문서에는 언급되지 않았지만하다audit=1커널 매개변수는 여전히 필요합니다 .