새로운 EC2 서버를 시작할 때마다 기본 규칙은 다음과 같습니다.auditctl
예
auditctl -a never,task
이 규칙의 목적은 무엇입니까?
답변1
~에서man auditctl
-a [list,action|action,list]
task Add a rule to the per task list. This rule list is
used only at the time a task is created -- when
fork() or clone() are called by the parent task.
When using this list, you should only use fields
that are known at task creation time, such as the
uid, gid, etc.
never No audit records will be generated. This can be used
to suppress event generation. In general, you want
suppressions at the top of the list instead of the
bottom. This is because the event triggers on the
first matching rule.
따라서 이렇게 하면 감사 로그 fork()
생성이 중지되며 clone()
그렇지 않으면 추가 CPU 로드는 물론 I/O 및 디스크 사용량이 발생할 수 있습니다.
답변2
이 규칙은 감사 시 다른 모든 규칙이 구문 분석되는 것을 방지합니다.
작업은 감사 컨텍스트를 할당하고 이를 데이터 구조에 연결하는 첫 번째 단계입니다.
감사는 생성된 첫 번째 규칙부터 마지막 규칙까지 규칙을 구문 분석하고 규칙이 충족되면 종료합니다. 예를 들어
-a never,task
작업 생성부터 작업 종료까지 아무것도 감사하지 않음을 의미합니다.더 나은 성능을 제공하지만 시스템 호출 감사를 완전히 끕니다.
자세한 내용을 보려면 확인해 보시기 바랍니다.github 저장소
그리고여기기본적으로 auditd를 비활성화하는 규칙을 정의하는 것입니다.