auditctl -a never、taskの目的は何ですか?

auditctl -a never、taskの目的は何ですか?

新しいEC2サーバーを起動するたびに、デフォルトのルールは次のとおりです。auditctl

はい

auditctl -a never,task

このルールの目的は何ですか?

答え1

~からman auditctl

  -a [list,action|action,list]

          task        Add a rule to the per task list. This rule  list  is
                      used  only  at  the  time  a task is created -- when
                      fork() or clone() are called  by  the  parent  task.
                      When  using  this  list,  you should only use fields
                      that are known at task creation time,  such  as  the
                      uid, gid, etc.

          never       No audit records will be generated. This can be used
                      to suppress event generation. In general,  you  want
                      suppressions  at  the top of the list instead of the
                      bottom. This is because the event  triggers  on  the
                      first matching rule.

したがって、これにより監査ログのfork()生成が停止されます。clone()そうしないと、追加のCPUロード、およびI / Oおよびディスク使用量が発生する可能性があります。

答え2

このルールは、監査時に他のすべてのルールが解析されるのを防ぎます。

  • タスクは、監査コンテキストを割り当ててそれをデータ構造にリンクする最初のステップです。

  • 監査は、生成された最初のルールから最後のルールまでルールを解析し、ルールが満たされると終了します。たとえば、-a never,taskジョブの作成からジョブの終了まで何も監査しないことを意味します。

  • より良いパフォーマンスを提供しますが、システムコールの監査を完全にオフにします。

詳細については、確認してください。githubリポジトリ

そしてここ基本的には、 auditd を無効にするルールを定義することです。

関連情報