Тест CIS не проходит проверку конфигурации хоста
Краткий ответ заключается в том, что это работает, только если у вас есть резервная физическая файловая система/dev(и если вы используете современный дистрибутив Linux, у вас, вероятно, нет ).
Длинный ответ следует:
Все это восходит к исходной философии UNIX, согласно которой все является файлом. Эта философия является частью того, что сделало UNIX такой универсальной, потому что вы могли напрямую взаимодействовать с устройствами из пользовательского пространства без необходимости иметь в своем приложении специальный код для прямого взаимодействия с физическим оборудованием.
Первоначально /devбыл просто еще одним каталогом с хорошо -известным именем, куда вы помещали файлы вашего устройства. Некоторые UNIX-системы до сих пор используют этот подход (. Я полагаю, что OpenBSD все еще использует ), и обычно вы можете сказать, является ли система такой, потому что в ней будет много файлов устройств для устройств, которых на самом деле нет в системе (. Например,файлов для каждого возможного раздела на каждом возможном диске ). Это экономит место в памяти и время при загрузке за счет использования немного большего дискового пространства, что было хорошим компромиссом для ранних систем, поскольку они, как правило, были очень ограниченными в памяти и не очень быстрыми. Обычно это называется наличием статического /dev.
В современных системах Linux (и, я думаю, также во FreeBSD и, возможно, в последних версиях Solaris ), /devявляется временной в -файловой системе памяти, заполняемой ядром (или udev, если вы используете Systemd, потому что они почти ничего не доверяют ядру ). Это экономит место на диске за счет некоторого количества памяти (, обычно меньше нескольких МБ ), и очень небольших накладных расходов на обработку. У него также есть ряд других преимуществ, одним из самых больших из которых является то, что легче обнаружить «горячее» -подключенное оборудование. Это обычно называют динамическим /dev.
Однако в обоих случаях доступ к узлам устройств осуществляется через обычный уровень VFS, что по определению означает, что они должны иметь индексный дескриптор (, даже если он виртуальный, который просто существует, чтобы такие вещи, как stat(), работали так, как будто они должен. С практической точки зрения это не оказывает никакого влияния на системы, использующие динамический /dev, поскольку они просто хранят индексные дескрипторы в памяти или генерируют их по мере необходимости, и почти нулевое влияние, когда /devявляется статическим, поскольку индексные дескрипторы занимают почти нулевое место в памяти. -Диск и большинство файловых систем либо не имеют верхнего предела для них, либо обеспечивают гораздо больше, чем кому-либо, вероятно, когда-либо понадобится.
Я использую Ubuntu 18.04, добавил все правила в файл /etc/audit/rules.d/audit.rules, и все работает нормально.
Для CentOS 6файл находится по адресу /etc/audit/audit.rules.
[INFO] 1.2 - Linux Hosts Specific Configuration
[WARN] 1.2.1 - Ensure a separate partition for containers has been created
[INFO] 1.2.2 - Ensure only trusted users are allowed to control Docker daemon
[INFO] * docker:x:999:delta
[PASS] 1.2.3 - Ensure auditing is configured for the Docker daemon
[PASS] 1.2.4 - Ensure auditing is configured for Docker files and directories - /var/lib/docker
[PASS] 1.2.5 - Ensure auditing is configured for Docker files and directories - /etc/docker
[PASS] 1.2.6 - Ensure auditing is configured for Docker files and directories - docker.service
[PASS] 1.2.7 - Ensure auditing is configured for Docker files and directories - docker.socket
[PASS] 1.2.8 - Ensure auditing is configured for Docker files and directories - /etc/default/docker
[INFO] 1.2.9 - Ensure auditing is configured for Docker files and directories - /etc/sysconfig/docker
[INFO] * File not found
[INFO] 1.2.10 - Ensure auditing is configured for Docker files and directories - /etc/docker/daemon.json
[INFO] * File not found
[WARN] 1.2.11 - Ensure auditing is configured for Docker files and directories - /usr/bin/containerd
[INFO] 1.2.12 - Ensure auditing is configured for Docker files and directories - /usr/sbin/runc
[INFO] * File not found