为了符合PCI规定,我已经configuration了auditd
PCI规定现有日志不能在不生成警报的情况下进行更改
本文http://ptresearch.blogspot.com/2010/11/requirement-10-track-and-monitor-all.htmlbuild议您这样做:
-w / var / log / -k Logs_Accessed -p rwxa
这个auditctl命令会起作用吗? 当然,你最终会在审核事件写入日志引发另一个审计事件等一圈?
您的审计命令行将完美工作。 但是,如果你想要一些额外的保护层:
那篇文章之后的部分指出: "These messages are processed by daemon syslog, not auditd."
据推测,这意味着syslog守护程序被configuration为远程login这些特定的消息,而不是本地。
从安全angular度来看,这是很明智的,因为如果logging某人正在改变文件的事实,他们也可以简单地删除该文件。 如果您远程login,攻击者将难以修改它们。 远程logging这些消息也解决了你的编辑循环问题。
auditd可能会有一个例外,它可以解决这个循环问题,但作者可能只是希望你不要创build循环。