我们最近实施了一些审核规则以响应外部安全审核。我的同事对它们提供了一些意见并建议添加-f 2到/etc/audit.rules.我想不出我想在测试之外引发内核恐慌的实例。
谁能提出可以保证这一点的现实世界生产情况?
答案1
auditctl -f 2本质上,当审计机制无法正常运行时,会引起恐慌。
在高安全性环境中,正确的访问控制和完整的日志记录至关重要,如果任何日志记录失败,则必须停止系统(此时,值班技术人员已被传呼)。金融交易往往就是这样。auditctl -f 2是针对这样的环境。