8.8. 보안
auditd 서버는 KRB5 피어 인증을 사용하는 원격 로깅 서버에서 시작되지 않습니다.
SELinux 정책에는 auditd_t SELinux 유형에서 실행되는 프로세스를 통해 생성된 임시 디렉터리 및 파일의 auditd_tmp_t 파일 유형이 포함되지 않습니다. 이렇게 하면 원격 로깅에 KRB5 피어 인증이 사용되는 경우 서버에서 auditd 서비스가 시작되지 않습니다.
이 문제를 해결하려면 auditd_t 도메인을 허용 모드로 설정하거나 auditd_t 유형에서 실행되는 프로세스가 /var/tmp 디렉토리에서 파일 및 디렉터리를 생성하고 수정할 수 있는 사용자 지정 SELinux 정책을 빌드합니다. 결과적으로 원격 로깅에 KRB5 피어 인증을 사용하는 auditd 서버는 설명된 해결 방법을 적용한 후에만 시작할 수 있습니다.
심볼릭 링크의 감사 실행 가능한 감시가 작동하지 않음
-w 옵션에서 제공하는 파일 모니터링은 경로를 직접 추적할 수 없습니다. 실행된 프로그램과 비교할 수 있도록 장치 및 inode의 경로를 확인해야 합니다. 실행 가능한 심볼릭 링크를 모니터링하는 감시는 symlink의 확인에서 발견된 메모리에서 실행되는 프로그램 대신 symlink 자체의 장치 및 inode를 모니터링합니다. 감시가 심볼릭 링크를 해석하여 결과 실행 프로그램을 가져오더라도 다른 심볼릭 링크에서 호출되는 다중 호출 바이너리에서 규칙이 트리거됩니다. 이로 인해 false positive로 로그를 플러싱합니다. 결과적으로 심볼릭 링크의 감사 실행 가능한 감시가 작동하지 않습니다.
문제를 해결하려면 프로그램 실행 파일의 해결된 경로에 대한 감시를 설정하고 comm= 또는 proctitle= 필드에 나열된 마지막 구성 요소를 사용하여 결과 로그 메시지를 필터링합니다.
(BZ#1421794)
