web-dev-qa-db-ja.com

再起動せずにauditd不変モードを無効にする

こんにちは私はauditdポリシーの修正を任されましたが、それはアクティブに使用されているサーバー上にあり、インストールされたポリシーは不変に設定されていました。私は検索を試みましたが、誰もが不変モードをエスケープするために再起動することをお勧めします…しかし、rootとして、再起動せずに不変モードを削除するものをコーディングする方法は本当にありませんか?誰もこれをすでに試みたようには見えないのはかなり驚くべきことだと思います。

2
John Musbach

この風車を何度も充電しました。
適切なセキュリティ体制では、「悪者」がルールを変更して「基本アクティビティ」をシステム管理者から隠すことを防ぐために、ルールを不変(-e 2)に設定する必要があります。
「悪者」が存在する場合、システム管理者が合法的に変更する必要があるよりもはるかに頻繁に監査済みルールを変更しようとします。そのため、不変フラグは変更を許可しません。

再起動に関する限り、これはSA、開発者、ユーザーの大きな問題です。私はこの戦いをあまりにも頻繁に戦ってきました-3つの観点すべてから。
正しい答えは次のとおりです。サーバーを再起動する必要がある場合があります!!
まさにこの種のことを行うには、事前に確立されたメンテナンスウィンドウが必要です。メンテナンスがない場合は、停止しないでください。

ユーザー/開発者/管理者がこの回答を気に入らない場合は、クラッシュするまで待つことができます。そうすると、修復にかかる時間が誰にもわかりません。

一般的に言って、全員がダウンタイムに同意すれば、変更を加えることができます。あなたは多くの不平を聞くかもしれません。それがSysAdの仕事の本質です。

ところで:audit.rulesファイルに-e 1を設定してロードし、auditctl -e 2を実行しようとしましたが、これは機能しません。 : '(

2
Scottie H