如何解决auditd 与控制台日志记录的优点
我需要说服我的团队,使用 auditd 比分析控制台输出更好。
当前配置使用一组“高风险”命令并标记会话以供审查。
我担心的是,如果我们标记,您可以很容易地欺骗这种机制
echo something > /etc/shadow
我们可以通过这样做来愚弄它
echo something > /e??/?h?d?w
另一个例子是设置别名
[root@xxx ~]# alias listmonitor=useradd
[root@xxx ~]# listmonitor
Usage: useradd [options] LOGIN
useradd -D
useradd -D [options]
您能想出任何其他方法可以欺骗控制台输出,而审计日志可以防止这种情况发生吗?任何想法将不胜感激!
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。