8.8. セキュリティー
KRB5 ピア認証を使用して、リモートのロギングサーバーで auditd サーバーを開始しない
SELinux ポリシーには、SELinux タイプの auditd_t で実行しているプロセスで作成された一時ディレクトリーおよびファイルに対する auditd_tmp_t ファイルタイプが含まれません。リモートロギングに KRB5 ピア認証を使用する場合は、サーバーで auditd サービスを起動しないようにします。
この問題を回避するには、auditd_t ドメインを Permissive モードに設定するか、auditd_t タイプで実行しているプロセスが /var/tmp ディレクトリーでファイルとディレクトリーを作成および変更できるようにするカスタム SELinux ポリシーを構築します。その結果、リモートロギングに KRB5 ピア認証を使用する auditd サーバーは、上記の回避策を適用した後のみ起動できます。
Audit の実行可能な監視機能がシンボリックリンクで機能しない
-w オプションによって提供されるファイルモニタリングでは、パスを直接追跡できません。デバイスと inode へのパスを解決して、実行したプログラムとの比較を行う必要があります。実行可能なシンボリックリンクを監視する監視機能は、メモリーで実行されるプログラムではなく、デバイスとシンボリックリンク自体の inode を監視します。これは、シンボリックリンクの解決から確認できます。監視機能がシンボリックリンクを解決して作成される実行プログラムを取得する場合でも、ルールは別のシンボリックリンクから呼び出されるマルチコールバイナリーでトリガーされます。これにより、誤検出でログがいっぱいになります。したがって、Audit の実行可能な監視機能は、シンボリックリンクでは機能しません。
この問題を回避するには、プログラム実行可能ファイルの解決されたパスに対して監視機能を設定し、comm= フィールドまたは proctitle= フィールドに記載されている最後のコンポーネントを使用して、生成されるログメッセージをフィルタリングします。
(BZ#1421794)
