我经常audit在我所在机构的工作站上记录可疑的用户操作。我发现,除了记录到 之外/var/log/audit.log,auditd还写入到/var/log/messages.因此,非特权用户只需键入命令即可查看记录的记录dmesg。这极大地影响了用户的隐私。
我试过了这和这,但我不想完全删除audit,而是希望它仍然登录到/var/log/audit.log.
我也尝试过这: 写信:programname, isequal, "audit" ~给rsyslog.conf,但它对我不起作用。
有些还建议添加audit=0到内核参数。我不确定它是否会auditd完全禁用。此外,工作站有许多活动用户,不应重新启动。
有人知道吗?
提前致谢!
操作系统:Debian 测试auditctl版本:2.4.5
答案1
记录到 /var/log/messages 确实与 /var/log/messages 同时发生。 audit=0 将禁用所有审核日志期间。但这不应该停止审核期。也考虑使用auditctl -e 0。
显示的审核日志并不是真正的“隐私问题”,因为如果用户真的想知道发生了什么,他们需要使用ausearch其他au*命令来查看日志/报告的内容(提示,他们需要根)。审核日志将显示执行的命令以及其他内容,但除此之外什么也没有(开关、其他文件等)。
附带说明一下,还有ps命令。无论如何,任何用户都可以看到其他用户正在运行的内容。