我對 RedHat entririse linux 審核規則感到困惑。 audit.rules 包含以下內容
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
從文件 -D 表示:
deletes all currently loaded Audit rules, for example:
那麼上面的audit.rules會產生什麼呢? audit.log 裡面會有什麼樣的資訊?我如何知道正在監控什麼?我對這條規則的最初理解是,一旦重新啟動完成,它將刪除所有先前審核的操作,但之後實際審核的是什麼?
非常感謝你的澄清
答案1
預設情況下,沒有審核規則。該文件作為編寫您自己的規則的基礎而存在。沒有任何規則對所有系統都有用,因此該發行版沒有附帶規則。您需要記錄的內容取決於您使用系統的目的以及您想了解系統的內容。
該文件首先擦除現有規則,以便您可以在正在運行的系統上重新啟動審核服務,然後您將進入已知狀態,而與先前存在的規則無關。
請注意,通常規則寫在/etc/audit/rules.d.這使得操作獨立的規則集變得更容易,特別是當某些檔案來自套件或來自 Puppet 或 Ansible 等設定管理軟體時。該文件/etc/audit/audit.rules在(重新)啟動審核服務之前重新產生。