Здравствуйте, мне было поручено исправить политику auditd, но она находится на сервере, который активно используется, и установленная политика была установлена неизменной. Я пробовал поискать, и все рекомендуют перезагрузить компьютер, чтобы выйти из неизменяемого режима… Но разве нет способа кодировать что-то, что от имени пользователя root удаляет неизменный режим без перезагрузки? Я нахожу довольно удивительным, что никто, кажется, еще не пытался это сделать.
Заряжал эту мельницу много раз.
Правильная позиция безопасности требует, чтобы правила были установлены на неизменяемые (-e 2), чтобы «плохой парень» не мог их изменить и скрыть свои «основные действия» от системных администраторов.
«Плохие парни», если они существуют, будут пытаться изменить правила аудита гораздо чаще, чем системные администраторы будут нуждаться в их законном изменении. Вот почему неизменяемый флаг не допускает изменений.
Что касается перезагрузки, это большая проблема для SA, против разработчиков и пользователей. Я слишком часто дрался с этим боем - со всех трех точек зрения.
Правильный ответ: ИНОГДА сервер нужно перезагрузить !!
Именно для этого вам необходимо иметь заранее установленные периоды обслуживания. Если нет обслуживания, не прекращайте отключение.
Если пользователям / разработчикам / менеджерам не нравится этот ответ, они могут подождать, пока он не выйдет из строя, и тогда никто не знает, сколько времени потребуется на его восстановление.
В общем, если все согласны с временем простоя, вы можете внести изменения. Вы можете услышать много ворчания. Такова суть работы системной рекламы.
Кстати: я пытался установить -e 1 в моем файле audit.rules, загрузите его, затем запустите auditctl -e 2, но это не работает. : '(