dmesgからauditdメッセージを除いて/var/log/audit.logにのみ記録する方法

dmesgからauditdメッセージを除いて/var/log/audit.logにのみ記録する方法

私は定期的にaudit私の機関のワークステーションで疑わしいユーザー活動を記録します。にロギングする/var/log/audit.logほか、auditdに書くこともできることがわかりました/var/log/messages。したがって、権限のないユーザーは、ログに記録されたレコードを表示するためにコマンドを入力するだけですdmesg。これはユーザーのプライバシーに大きな影響を与えます。

頑張ったこれそしてこれ、しかし完全に削除したくないが、auditにログインし続けたいと思います/var/log/audit.log

私も試しましたこれ:手紙を書いたが、:programname, isequal, "audit" ~rsyslog.confには効果がなかった。

audit=0いくつかはカーネルパラメータを追加することをお勧めします。完全に無効になるかどうかはわかりませんauditd。また、ワークステーションにアクティブなユーザーが多いため、再起動しないでください。

知っている人はいますか?

よろしくお願いします!

オペレーティングシステム: Debian テスト auditctl バージョン: 2.4.5

答え1

/var/log/messages へのロギングは /var/log/messages と同時に発生します。 audit = 0はすべての監査ログ期間を無効にします。ただし、これによりレビュー期間が中断されるべきではありません。また、使用を検討してくださいauditctl -e 0

表示される監査ログは実際には「個人情報保護の問題」ではありません。ユーザーが実際に何が起こっているのかを知りたい場合は、ausearch別のau*コマンドを使用してログ/レポートに表示されている内容を確認する必要があります(ヒント、ルートが必要です)。監査ログには、実行されたコマンドやその他の項目は表示されますが、他の項目(スイッチ、その他のファイルなど)は表示されません。

ちなみにps命令もあります。それにもかかわらず、すべてのユーザーは他のユーザーが実行している内容を見ることができます。

関連情報