RedHat entriprise linuxの監査ルールについて混乱しています。audit.rulesには次の内容が含まれています。
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
ドキュメントによると、-D は次のことを意味します。
deletes all currently loaded Audit rules, for example:
では、上記のaudit.rulesは何を生成するのでしょうか?audit.logにはどのような情報が含まれるのでしょうか?何が監視されているかを知るにはどうすればよいのでしょうか?このルールについて私が最初に理解したのは、再起動が完了すると、以前に監査されたすべてのアクションが削除されるというものですが、その後実際に何が監査されるのでしょうか?
あなたの説明は本当にありがたいです
答え1
デフォルトでは、監査ルールはありません。このファイルは、独自のルールを記述するための基礎として存在します。すべてのシステムで役立つルールはないため、ディストリビューションにはルールは付属していません。ログに記録する必要があるものは、システムの使用目的とシステムについて知りたいことによって異なります。
このファイルは、既存のルールを消去することから開始されるため、実行中のシステムで監査サービスを再起動すると、以前に存在していたルールに関係なく、既知の状態になります。
通常、ルールは のファイルに記述されることに注意してください/etc/audit/rules.d。これにより、特に一部のファイルがパッケージまたは Puppet や Ansible などの構成管理ソフトウェアから取得される場合に、独立したルール セットの操作が容易になります。 ファイルは、/etc/audit/audit.rules監査サービスを (再) 開始する直前に再生成されます。