您好,我被要求修复一个 auditd 策略,但它位于一个正在使用的服务器上,并且安装的策略设置为不可变。我尝试搜索,每个人都建议重新启动以退出不可变模式……但真的没有办法编写一些东西,以 root 身份删除不可变模式而无需重新启动吗?我发现似乎没有人尝试过这样做,这真是太神奇了。
答案1
多次给这个风车充电。
正确的安全态势要求将规则设置为不可变(-e 2),以防止“坏人”更改它并向系统管理员隐藏他的“基本活动”。
如果存在“坏人”,他们会尝试更改审计规则,频率远高于系统管理员合法更改它们所需的频率。这就是不可变标志不允许更改的原因。
就重启而言,这是 SA、开发人员和用户之间的一个大问题。我已经打了太多次这场斗争了——从所有三个角度来看。
正确的答案是:有时服务器需要重新启动!
您需要预先设定维护窗口来处理此类事情。如果没有维护,则不要中断。
如果用户/开发人员/管理人员不喜欢这个答案,他们可以等到它崩溃,然后没人知道修复它需要多长时间。
一般来说,如果每个人都同意停机时间,您可以进行更改。您可能会听到很多抱怨。这就是系统广告工作的本质。
顺便说一句:我尝试-e 1在我的 audit.rules 文件中进行设置,加载它,然后运行auditctl -e 2,但这不起作用。:'(