在 RHEL5 和 RHEL6 中,我可以添加audit=1在启动过程开始之前启动内核级审核auditd。现在,在 RHEL7 中,我找不到任何提及audit=1作为内核参数的内容。
有人看过关于启动时内核/系统审计的权威文档吗?仅audit安装 RPM 并systemctl enable auditd在重新启动时就足够了吗?
答案1
RHEL 7.x审计文件根本没有提到内核参数(不知怎的,我认为 RHEL 6.x 文档确实提到了它,但我现在似乎找不到它)。
然而,RHEL 7.4 系统上auditd(package )的手册页包含以下内容:audit-2.7.6-3.el7.x86_64
应添加启动参数
audit=1以确保在审核守护进程启动之前运行的所有进程都被内核标记为可审核。如果不这样做,某些流程将无法正确审核。
因此,尽管发行文档中没有提及,但您做仍然需要audit=1内核参数。