auditctl -a never,task의 목적은 무엇입니까?

auditctl -a never,task의 목적은 무엇입니까?

새로운 EC2 서버를 시작할 때마다 기본 규칙은 다음과 같습니다.auditctl

auditctl -a never,task

이 규칙의 목적은 무엇입니까?

답변1

~에서man auditctl

  -a [list,action|action,list]

          task        Add a rule to the per task list. This rule  list  is
                      used  only  at  the  time  a task is created -- when
                      fork() or clone() are called  by  the  parent  task.
                      When  using  this  list,  you should only use fields
                      that are known at task creation time,  such  as  the
                      uid, gid, etc.

          never       No audit records will be generated. This can be used
                      to suppress event generation. In general,  you  want
                      suppressions  at  the top of the list instead of the
                      bottom. This is because the event  triggers  on  the
                      first matching rule.

따라서 이렇게 하면 감사 로그 fork()생성이 중지되며 clone()그렇지 않으면 추가 CPU 로드는 물론 I/O 및 디스크 사용량이 발생할 수 있습니다.

답변2

이 규칙은 감사 시 다른 모든 규칙이 구문 분석되는 것을 방지합니다.

  • 작업은 감사 컨텍스트를 할당하고 이를 데이터 구조에 연결하는 첫 번째 단계입니다.

  • 감사는 생성된 첫 번째 규칙부터 마지막 ​​규칙까지 규칙을 구문 분석하고 규칙이 충족되면 종료합니다. 예를 들어 -a never,task작업 생성부터 작업 종료까지 아무것도 감사하지 않음을 의미합니다.

  • 더 나은 성능을 제공하지만 시스템 호출 감사를 완전히 끕니다.

자세한 내용을 보려면 확인해 보시기 바랍니다.github 저장소

그리고여기기본적으로 auditd를 비활성화하는 규칙을 정의하는 것입니다.

관련 정보