可以修改auditd日志吗？(安全、空壳监测)

Question

我最近设置了auditd并启用了TTY日志，这样我就可以让某个非根shell访问并监视他们正在做的事情。(至于是否值得，我给了他们jailshell访问权，这是一个cPanel特性，限制他们只访问他们的用户目录。)

我正确地设置了它，为了测试它，我运行了aureport --tty -i来查看所有的用户活动，并运行ausearch -ul _username_ | aureport --tty -i来过滤新帐户的活动(特此命名为_username_，一个化名)。在_username_帐户上，我只运行了一些简单的命令，比如cd和ls。我还将此与cat /home/_username_/.bash_history进行了比较。我每天都登录查看更新，我确信我一直在看到来自_username_ (上述基本命令)的相同的活动记录。我知道我看到了这个活动，因为我记得我很困惑，直到我注销后才看到它登录到aureport中。我不得不在谷歌上发现这是对非根TTY日志的限制。所以几天前肯定是在aureport上。

所以今天，我再次检查，这一次是_username_的新活动。一些看似无伤大雅的命令。坦率地说，我原以为有账户的人会有更多的活动。然而，让我感到非常不安的是，_username_之前没有任何活动记录。我的原始测试命令不再由aureport报告。

他们是否有可能变得不好，以某种方式获得根访问权，并从auditd中删除他们的历史记录，不小心擦除了进程中我的测试命令的历史记录？还有其他解释吗？

Answer 1

关于我先前的评论，我想再谈一谈：

与其滥用，我希望您的日志文件达到最大大小，或者事件发生在X年前，最古老的条目被系统简单地删除。

大多数系统都配置了不会无限期保存日志的默认设置，打包程序通常包括日志旋转放置脚本(在/etc/logrotate.d中)，或者如果服务支持这样的内容，那么守护进程本身的日志就会受到年龄和/或大小的限制。

奥迪是第二个品种。

检查当前设置的auditd.conf和所有受支持的选项和默认值的man 5 auditd.conf；例如找到的max_log_file和num_logs设置。

要回答你问题的标题：

可以修改auditd日志吗？

是的:如果你给予人们管理员级的权限，他们通常可以修改你的整个系统。这就是为什么将日志事件复制到安全的远程日志服务器是最佳做法。