私は定期的にaudit私の機関のワークステーションで疑わしいユーザー活動を記録します。にロギングする/var/log/audit.logほか、auditdに書くこともできることがわかりました/var/log/messages。したがって、権限のないユーザーは、ログに記録されたレコードを表示するためにコマンドを入力するだけですdmesg。これはユーザーのプライバシーに大きな影響を与えます。
頑張ったこれそしてこれ、しかし完全に削除したくないが、auditにログインし続けたいと思います/var/log/audit.log。
私も試しましたこれ:手紙を書いたが、:programname, isequal, "audit" ~私rsyslog.confには効果がなかった。
audit=0いくつかはカーネルパラメータを追加することをお勧めします。完全に無効になるかどうかはわかりませんauditd。また、ワークステーションにアクティブなユーザーが多いため、再起動しないでください。
知っている人はいますか?
よろしくお願いします!
オペレーティングシステム: Debian テスト auditctl バージョン: 2.4.5
ベストアンサー1
/var/log/messages へのロギングは /var/log/messages と同時に発生します。 audit = 0はすべての監査ログ期間を無効にします。ただし、これによりレビュー期間が中断されるべきではありません。また、使用を検討してくださいauditctl -e 0。
表示される監査ログは実際には「個人情報保護の問題」ではありません。ユーザーが実際に何が起こっているのかを知りたい場合は、ausearch別のau*コマンドを使用してログ/レポートに表示されている内容を確認する必要があります(ヒント、ルートが必要です)。監査ログには、実行されたコマンドやその他の項目は表示されますが、他の項目(スイッチ、その他のファイルなど)は表示されません。
ちなみにps命令もあります。それにもかかわらず、すべてのユーザーは他のユーザーが実行している内容を見ることができます。