审核对审计日志的更改

Question

我已经为PCI遵从性的原因配置了auditd。

PCI声明，如果不生成警报，则无法更改现有日志。

本文http://ptresearch.blogspot.com/2010/11/requirement-10-track-and-monitor-all.html建议这样做：

-w /var/log/ -k Logs_Accessed -p rwxa

这个auditctl命令有效吗？你肯定会以一个审计事件为圆圈，写到日志中，引发另一个审计事件等等？

Answer 1

您的审计命令行将完美地工作。但是，如果您想要一些额外的保护层：

• 使用chattr将日志更改为仅被追加。
• 有一个集中的日志服务器
• 使用SElinux规则设置规则，强制执行只有syslog和守护进程本身才能写入/var/log的规则
• 使用Unix权限可以确保/var/log只对几个人可访问。

Answer 2

这篇文章后面的一节指出，"These messages are processed by daemon syslog, not auditd."

这可能意味着syslog守护进程被配置为远程记录这些特定消息，而不是本地记录。

从安全的角度来看，这是明智的，因为如果您将某人正在更改的文件记录在他们正在更改的文件中，他们也可以简单地删除该条目。如果您远程记录它们，攻击者将很难修改它们。远程记录这些消息也解决了您的编辑循环问题。

auditd本身可能有一个解决这个循环问题的异常，但是作者可能只是期望您一开始就不会创建这个循环。