访问/var/log/audit.log而不使用根密码

Question

RHEL 7.8

下的

drwxr-xr-x.   20 root root   4096 May  1 11:13       var

drwxr-xr-x.   24 root root   4096 Sep 27 03:22       log

drwx------.    2 root root   4096 Sep  2 03:34       audit

-rw-------.    1 root root  80765572 Sep 30 17:40    audit.log

基于/var/log/audit/audit.log的文件权限，是否有可能允许系统上的本地用户在不知道根密码的情况下对审计日志进行审核、复制和存档？

有权进入系统的个人也受到该系统的审计，通过抑制审计活动或修改审计记录，可能会影响审计信息的可靠性。这要求在与审计相关的权限与其他权限之间进一步定义特权访问权限，从而限制具有与审计相关的权限的用户。

Answer 1

这是解决办法吗？

1. 编辑/etc/group并创建一个新组，名为具有唯一gid的审核。
2. 将没有根访问权限的特定用户添加到此审核组中。
3. 编辑/etc/audit/auditd.conf并将log_group = root更改为log_group = audit 4，重新启动服务审计并观察

 drwxr-x---. 2 root   audit     4096 Sep 30 18:04   /var/log/audit

 -rw-r-----. 1 root   audit    43040 Sep 30 18:06   /var/log/audit/audit.log

我意识到这可能是愚蠢的，因为复制的审计日志可以简单地被操纵。我想也许保留一个root.root拥有的原始审计日志副本和一个SHA校验和？否则，如果审计用户操纵日志文件，谁会知道更好呢？