RedHat entriprise Linux 감사 규칙에 대해 혼란스러워합니다. audit.rules에는 다음이 포함됩니다.
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
문서에서 -D는 다음을 의미합니다.
deletes all currently loaded Audit rules, for example:
그렇다면 위의 audit.rules는 무엇을 생성할까요? audit.log에는 어떤 종류의 정보가 있나요? 무엇이 모니터링되고 있는지 어떻게 알 수 있나요? 이 규칙에 대한 나의 초기 이해는 재부팅이 완료되면 이전에 감사된 모든 작업을 삭제하지만 그 후에 실제로 감사되는 작업은 무엇입니까?
당신의 설명에 정말 감사드립니다
답변1
기본적으로 감사 규칙은 없습니다. 이 파일은 자신만의 규칙을 작성하기 위한 기반으로 존재합니다. 모든 시스템에 유용한 규칙은 없으므로 배포에는 규칙이 따르지 않습니다. 기록해야 하는 내용은 시스템을 사용하는 용도와 시스템에 대해 알고 싶은 내용에 따라 다릅니다.
파일은 실행 중인 시스템에서 감사 서비스를 다시 시작할 수 있도록 기존 규칙을 지우는 것으로 시작되며, 이전에 어떤 규칙이 있었는지에 관계없이 알려진 상태에 도달하게 됩니다.
일반적으로 규칙은 /etc/audit/rules.d. 이렇게 하면 특히 일부 파일이 패키지나 Puppet 또는 Ansible과 같은 구성 관리 소프트웨어에서 가져온 경우 독립적인 규칙 집합을 더 쉽게 조작할 수 있습니다. 파일은 /etc/audit/audit.rules감사 서비스를 (다시) 시작하기 직전에 재생성됩니다.