私は定期的にaudit
私の機関のワークステーションで疑わしいユーザー活動を記録します。にロギングする/var/log/audit.log
ほか、auditd
に書くこともできることがわかりました/var/log/messages
。したがって、権限のないユーザーは、ログに記録されたレコードを表示するためにコマンドを入力するだけですdmesg
。これはユーザーのプライバシーに大きな影響を与えます。
頑張ったこれそしてこれ、しかし完全に削除したくないが、audit
にログインし続けたいと思います/var/log/audit.log
。
私も試しましたこれ:手紙を書いたが、:programname, isequal, "audit" ~
私rsyslog.conf
には効果がなかった。
audit=0
いくつかはカーネルパラメータを追加することをお勧めします。完全に無効になるかどうかはわかりませんauditd
。また、ワークステーションにアクティブなユーザーが多いため、再起動しないでください。
知っている人はいますか?
よろしくお願いします!
オペレーティングシステム: Debian テスト auditctl バージョン: 2.4.5
答え1
/var/log/messages へのロギングは /var/log/messages と同時に発生します。 audit = 0はすべての監査ログ期間を無効にします。ただし、これによりレビュー期間が中断されるべきではありません。また、使用を検討してくださいauditctl -e 0
。
表示される監査ログは実際には「個人情報保護の問題」ではありません。ユーザーが実際に何が起こっているのかを知りたい場合は、ausearch
別のau*
コマンドを使用してログ/レポートに表示されている内容を確認する必要があります(ヒント、ルートが必要です)。監査ログには、実行されたコマンドやその他の項目は表示されますが、他の項目(スイッチ、その他のファイルなど)は表示されません。
ちなみにps
命令もあります。それにもかかわらず、すべてのユーザーは他のユーザーが実行している内容を見ることができます。