我经常audit
在我所在机构的工作站上记录可疑的用户操作。我发现,除了记录到 之外/var/log/audit.log
,auditd
还写入到/var/log/messages
.因此,非特权用户只需键入命令即可查看记录的记录dmesg
。这极大地影响了用户的隐私。
我试过了这和这,但我不想完全删除audit
,而是希望它仍然登录到/var/log/audit.log
.
我也尝试过这: 写信:programname, isequal, "audit" ~
给rsyslog.conf
,但它对我不起作用。
有些还建议添加audit=0
到内核参数。我不确定它是否会auditd
完全禁用。此外,工作站有许多活动用户,不应重新启动。
有人知道吗?
提前致谢!
操作系统:Debian 测试auditctl版本:2.4.5
答案1
记录到 /var/log/messages 确实与 /var/log/messages 同时发生。 audit=0 将禁用所有审核日志期间。但这不应该停止审核期。也考虑使用auditctl -e 0
。
显示的审核日志并不是真正的“隐私问题”,因为如果用户真的想知道发生了什么,他们需要使用ausearch
其他au*
命令来查看日志/报告的内容(提示,他们需要根)。审核日志将显示执行的命令以及其他内容,但除此之外什么也没有(开关、其他文件等)。
附带说明一下,还有ps
命令。无论如何,任何用户都可以看到其他用户正在运行的内容。