8.8. 安全性
auditd 服务器不会使用 KRB5 peer 验证在远程日志服务器中启动
SELinux 策略不包含 auditd_t SELinux 类型下运行的进程所创建的临时目录和文件的 auditd_tmp_t 文件类型。这可防止在将 KRB5 peer 身份验证用于远程日志记录时在服务器上启动 auditd 服务。
要临时解决这个问题,将 auditd_t 域设置为 permissive 模式,也可以构建自定义 SELinux 策略,允许 auditd_t 类型下运行的进程创建和修改 /var/tmp 目录中的文件和目录。因此,只有在应用上述临时解决方案后,才能启动使用 KRB5 peer 身份验证进行远程日志的 auditd 服务器。
可执行审核监控在符号链接上无法正常工作
-w 选项提供的文件监控无法直接跟踪路径。它需要解析到设备的路径以及内节点,才能与已执行程序进行比较。监视监控可执行文件会监控设备以及符号链接本身的内节点,而不是在内存中执行的程序,这可从符号链接解析中找到。即使监视可以解析符号链接来获取生成的可执行程序,规则也会触发从不同符号链接调用的任何多调用二进制文件。这会导致大量日志带有假的正状态。因此,可执行的审计监控符号链接无法正常工作。
要临时解决这个问题,请设置程序可执行文件的解析路径,并使用 comm= 或 proctitle= 字段中列出的最后一个组件过滤生成的日志消息。
(BZ#1421794)
