audit=1RHEL5とRHEL6では、起動プロセスが開始される前にカーネルレベルの監査が開始されるように追加できますauditd。 RHEL7では、audit=1これをカーネルパラメータと呼ぶものが見つかりません。
起動時にカーネル/システム監査に関する権威ある文書を見た人はいますか?auditRPMをインストールして再起動すれば十分ですかsystemctl enable auditd?
答え1
RHEL 7.x監査文書カーネルパラメータへの言及はまったくありません(とにかくRHEL 6.xのドキュメントで言及したと思いましたが、今は見つかりませんでした)。
ただし、auditdRHEL 7.4 システムのパッケージのマニュアルページには以下が含まれています。audit-2.7.6-3.el7.x86_64
audit=1監査デーモンが開始される前に、実行中のすべてのプロセスがカーネルによって監査可能としてマークされるように、開始パラメーターを追加する必要があります。そうしないと、一部のプロセスが正しく監査されません。
したがって、リリース文書には記載されていませんが、するaudit=1カーネルパラメータはまだ必要です。