RHEL 7.8에서
drwxr-xr-x. 20 root root 4096 May 1 11:13 var
drwxr-xr-x. 24 root root 4096 Sep 27 03:22 log
drwx------. 2 root root 4096 Sep 2 03:34 audit
-rw-------. 1 root root 80765572 Sep 30 17:40 audit.log
파일 권한에 따라 가능합니까 /var/log/audit/audit.log? 그렇다면 이 시스템의 로컬 사용자가 다음을 수행하도록 허용하려면 어떻게 해야 합니까?심사루트 비밀번호를 모르면서 감사 로그를 복사하고 보관하시겠습니까?
시스템에 대한 액세스 권한을 가진 개인도 해당 시스템의 감사 대상이며 감사 활동을 금지하거나 감사 기록을 수정함으로써 감사 정보의 신뢰성에 영향을 미칠 수 있습니다. 이를 위해서는 권한 있는 액세스가 필요합니다.더 정의되다감사 관련 권한과 감사 관련 권한이 있는 사용자를 제한하는 기타 권한 간의 관계입니다.
답변1
이것이 해결책입니까?
/etc/group이름이 지정된 새 그룹을 편집 하고 생성합니다.심사고유한 GID가 있습니다.- 여기에 루트 액세스 권한 없이 특정 사용자를 추가하세요.심사그룹
- 편집하여 4 로
/etc/audit/auditd.conf변경한 후 auditd 서비스를 다시 시작하고 관찰합니다.log_group = rootlog_group = audit
drwxr-x---. 2 root audit 4096 Sep 30 18:04 /var/log/audit
-rw-r-----. 1 root audit 43040 Sep 30 18:06 /var/log/audit/audit.log
복제된 감사 로그는 간단히 조작할 수 있으므로 이것이 아마도 어리석은 일이라는 것을 알고 있습니다. SHA 체크섬과 함께 root.root가 소유한 원래 감사 로그의 복사본을 보관할 수 있을 것이라고 생각했습니다. 감사 사용자가 로그 파일을 조작했다면 누가 더 잘 알겠습니까?