RHEL 7.8から
drwxr-xr-x. 20 root root 4096 May 1 11:13 var
drwxr-xr-x. 24 root root 4096 Sep 27 03:22 log
drwx------. 2 root root 4096 Sep 2 03:34 audit
-rw-------. 1 root root 80765572 Sep 30 17:40 audit.log
ファイル権限に応じて可能ですか/var/log/audit/audit.log?では、このシステムのローカルユーザーに次のことを許可するにはどうすればよいですか?審査ルートパスワードを知らずに監査ログをコピーしてアーカイブしますか?
システムへのアクセス権を持つ個人もそのシステムの監査対象であり、監査活動を禁止するか、監査記録を変更することにより、監査情報の信頼性に影響を与える可能性があります。これには特権アクセスが必要です。もっと定義される監査関連権限と監査関連権限を持つユーザーを制限する他の権限との関係。
答え1
これは解決策ですか?
/etc/group名前付きの新しいグループを編集して作成します。審査独自のGIDがあります。- ここにrootアクセス権なしで特定のユーザーを追加してください。審査グループ
- 編集して4に
/etc/audit/auditd.conf変更し、auditdサービスを再起動して観察します。log_group = rootlog_group = audit
drwxr-x---. 2 root audit 4096 Sep 30 18:04 /var/log/audit
-rw-r-----. 1 root audit 43040 Sep 30 18:06 /var/log/audit/audit.log
複製された監査ログは簡単に操作できるため、これがおそらく愚かなことであることがわかります。 SHAチェックサムとともに、root.rootが所有する元の監査ログのコピーを保持できると思いました。監査ユーザーがログファイルを操作した場合、誰がもっとよく知りますか?