Linux 强化中 CIS 基准规则的实施，我们在其中一条规则“确保收集特权命令的使用”中存在问题

Question

请注意，应<partition>替换为您希望为其创建审核规则的文件系统的任何部分。最常见的情况可能是为整个系统创建审核规则：在这种情况下，您应该<partition>仅替换为/.

命令示例的措辞在这里有点误导：在这种情况下<partition>，不是参考一个磁盘分区类似/dev/sda1，但只是您希望为其创建审核规则的文件系统树的一部分。

该命令会将规则输出到标准输出：要使用它们，您应该将输出重定向到适当的文件。如果你是创造审计规则，您可以简单地将输出重定向到例如/etc/audit/rules.d/cis.rules，然后运行auditctl -R /etc/audit/rules.d/cis.rules以使它们立即生效：

find / -xdev \( -perm -4000 -o -perm -2000 \) -type f | 
    awk '{print "-a always,exit -F path=" $1 " -F perm=x -F auid>='"$(awk '/^\s*UID_MIN/{print $2}' /etc/login.defs)"' -F auid!=4294967295 -k privileged" }' \
    > /etc/audit/rules.d/cis.rules

如果你是验证现有规则，您应该将输出重定向到临时文件，然后将其与/etc/audit/rules.d/目录中的现有规则文件进行比较。为了便于比较，您可能需要首先对两个文件进行排序，以便可以使用diff类似工具轻松查看任何差异。

所以一个简单的验证脚本可能是：

#!/bin/sh
ACTUAL_RULES=/etc/audit/rules.d/cis.rules

# Create a temporary directory and set it to auto-delete on script exit   
WORKDIR=$(mktemp -d) && trap "rm -rf $WORKDIR" EXIT

# Create a sorted set of what the rules should be
find / -xdev \( -perm -4000 -o -perm -2000 \) -type f | 
    awk '{print "-a always,exit -F path=" $1 " -F perm=x -F auid>='"$(awk '/^\s*UID_MIN/{print $2}' /etc/login.defs)"' -F auid!=4294967295 -k privileged" }' |
    sort > $WORKDIR/cis.rules.sorted.should-be

# sort the actual rules
sort < $ACTUAL_RULES >$WORKDIR/cis.rules.sorted.actual

# compare expected vs. actual
diff -u $WORKDIR/cis.rules.sorted.should-be $WORKDIR/cis.rules.sorted.actual

如果脚本没有输出（返回码为0），则验证成功。

如果预期规则与实际规则之间存在差异，脚本将退出并返回代码 1，输出diff -u将指示额外规则（以单个前缀+）和缺失规则（以单个前缀-）。如果diff可以在您的发行版中对其输出进行着色，则额外的规则将以绿色输出，缺少的规则将以红色输出。

Answer 1