Аудит изменений в журнале аудита

Я настроил auditd из соображений соответствия PCI

PCI заявляет, что существующие журналы не могут быть изменены без предупреждения

Эта статья http://ptresearch.blogspot.com/2010/11/requirement-10-track-and-monitor-all.html рекомендует сделать это:

-w / var / log / -k Доступ к журналам -p rwxa

Будет ли работать эта команда auditctl? Наверняка вы попадете в круг с записью события аудита в журнал, провоцируя другое событие аудита и т. Д.?

Командная строка вашего аудита будет работать отлично. Однако, если вам нужны дополнительные слои защиты:

используйте chattr, чтобы изменить ваши журналы, чтобы они были только добавлены
иметь централизованный сервер регистрации
используйте правила SElinux, чтобы установить правило, обеспечивающее выполнение только системного журнала, и сами демоны могут писать в / var / log
используйте разрешения Unix, чтобы убедиться, что / var / log доступен только нескольким людям.

В следующем разделе этой статьи говорится, что "These messages are processed by daemon syslog, not auditd."

Предположительно, это означает, что демон syslog настроен на регистрацию этих конкретных сообщений удаленно, а не локально.

Это разумно с точки зрения безопасности, потому что, если вы регистрируете тот факт, что кто-то изменяет файл в том же файле, который они изменяют, они также могут просто удалить эту запись. Если вы регистрируете их удаленно, злоумышленнику будет сложнее их изменить. Удаленная регистрация этих сообщений также решает вашу проблему цикла редактирования.

auditd может иметь собственное исключение, которое решает эту проблему цикла, но авторы, возможно, просто ожидали, что вы не создадите цикл в первую очередь.