Auditoria de kernel / boot no RHEL 7?

Navegue suas respostas
2

No RHEL5 e RHEL6, eu pude adicionar audit=1 para iniciar a auditoria no nível do kernel durante a inicialização antes que o processo de inicialização chegasse tão longe quanto iniciar auditd . Agora, no RHEL7, não consigo encontrar nenhuma menção de audit=1 como argumento do kernel.

Alguém viu um documento definitivo sobre a auditoria do kernel / sistema no momento da inicialização? Está apenas tendo o audit RPM instalado e systemctl enable auditd suficiente na reinicialização?

    
por dafydd 01.02.2018 / 20:20

1 resposta

1

A documentação sobre auditoria do RHEL 7.x é possível mencionar o parâmetro do kernel (de alguma forma, eu pensei que a documentação do RHEL 6.x mencionou isso, mas não consigo encontrá-lo agora).

A página de manual para auditd (package audit-2.7.6-3.el7.x86_64 ) em um sistema RHEL 7.4, no entanto, possui o seguinte:

A boot param of audit=1 should be added to ensure that all processes that run before the audit daemon starts is marked as auditable by the kernel. Not doing that will make a few processes impossible to properly audit.

Portanto, embora não seja mencionado na documentação de distribuição, você faz ainda precisa do parâmetro do kernel audit=1 .

    
por 02.02.2018 / 09:42

Tags

Click + shift não funciona em jogos em xfce4 Como posso executar um serviço Systemd em uma conta do Active Directory?