在 RHEL 7.8 下
drwxr-xr-x. 20 root root 4096 May 1 11:13 var
drwxr-xr-x. 24 root root 4096 Sep 27 03:22 log
drwx------. 2 root root 4096 Sep 2 03:34 audit
-rw-------. 1 root root 80765572 Sep 30 17:40 audit.log
基于文件权限/var/log/audit/audit.log是否可能,如果可以,如何允许该系统上的本地用户执行以下操作审计在不知道 root 密码的情况下复制并存档审核日志?
具有系统特权访问权限的个人也是该系统审计的对象,可能会通过禁止审计活动或修改审计记录来影响审计信息的可靠性。这需要特权访问被进一步定义审计相关权限与限制具有审计相关权限的用户的其他权限之间的关系。
答案1
这是一个解决方案吗?
- 编辑
/etc/group并创建一个新组,命名为审计有一个独特的gid - 将没有 root 访问权限的特定用户添加到此审计团体
- 编辑
/etc/audit/auditd.conf修改log_group = root为log_group = audit4,服务auditd重启并观察
drwxr-x---. 2 root audit 4096 Sep 30 18:04 /var/log/audit
-rw-r-----. 1 root audit 43040 Sep 30 18:06 /var/log/audit/audit.log
我意识到这可能很愚蠢,因为复制的审计日志可以简单地被操纵。我想也许保留 root.root 拥有的原始审核日志副本以及 SHA 校验和?否则谁能更好地知道审计用户是否操纵了日志文件?