나는 정기적으로 audit내 기관의 워크스테이션에서 의심스러운 사용자 활동을 기록합니다. 에 로깅 /var/log/audit.log하는 것 외에도 auditd에 쓰기도 한다는 것을 알았습니다 /var/log/messages. 따라서 권한이 없는 사용자는 로그된 레코드를 보려면 명령을 입력하기만 하면 됩니다 dmesg. 이는 사용자 개인 정보 보호에 큰 영향을 미칩니다.
나는 노력했다이것그리고이것, 하지만 완전히 삭제하고 싶지는 않지만 audit에 계속 로그인되어 있기를 원합니다 /var/log/audit.log.
나도 시도했다이것: 편지를 썼지 :programname, isequal, "audit" ~만 rsyslog.conf나에게는 효과가 없었습니다.
audit=0일부는 커널 매개변수를 추가할 것을 권장하기도 합니다 . 완전히 비활성화 될지는 잘 모르겠습니다 auditd. 또한 워크스테이션에 활성 사용자가 많기 때문에 다시 시작해서는 안 됩니다.
아는 사람 있나요?
미리 감사드립니다!
운영 체제: Debian 테스트 auditctl 버전: 2.4.5
답변1
/var/log/messages에 대한 로깅은 /var/log/messages와 동시에 발생합니다. audit=0은 모든 감사 로그 기간을 비활성화합니다. 하지만 이로 인해 검토 기간이 중단되어서는 안 됩니다. 또한 사용을 고려하십시오 auditctl -e 0.
표시된 감사 로그는 실제로 "개인 정보 보호 문제"가 아닙니다. 사용자가 실제로 무슨 일이 일어나고 있는지 알고 싶다면 ausearch다른 au*명령을 사용하여 로그/보고서에 표시된 내용을 확인해야 하기 때문입니다(힌트, 루트가 필요함). 감사 로그에는 실행된 명령과 기타 항목이 표시되지만 다른 항목(스위치, 기타 파일 등)은 표시되지 않습니다.
참고로 ps명령어도 있습니다. 그럼에도 불구하고 모든 사용자는 다른 사용자가 실행 중인 내용을 볼 수 있습니다.