当使用电子邮件地址时/etc/audit/auditd.conf,有一个选项验证邮件其定义为,
此选项决定是否检查 action_mail_acct 中给出的电子邮件地址,以查看域名是否可以解析。必须在 action_mail_acct 之前给出此选项,否则将使用默认值 yes。
实际检查何时进行?例如,服务启动时?审计事件发生时?
答案1
当服务启动时——或者更准确地说在解析配置期间。
在里面src/auditd-config.c(作为60477a5):
配置参数
action_mail_acct在 1124-1145 行进行解析。- 在那里,如果
config->verify_email(从配置参数解析verify_email = yes)是true&validate_email(tmail)返回任何错误,action_mail_acct_parser()将会return 1。
- 在那里,如果
1058-1122行
validate_email()执行各种(相当简单的)检查:- 该字符串是否太短,无法作为电子邮件地址。
- 电子邮件地址是否含有非法字符。
- 电子邮件地址是否
@正确。 - 電子郵件地址是否有
.後面的@? - 用途
getaddrinfo()检查地址的主机名部分是否解析。
在第 1109-1111 行有一个很好的 TODO,用于检测永久性故障。
我既然已经到了这里,应该修复它吗?;D