доступ к /var/log/audit/audit.log без пароля root
Используйте sedс опцией -z, которая разделяет строки символами NUL, затем измените соответствие, как в:
sed -z 's/\nand/ and/g' infile
некоторые sedреализации поддерживают настоящую новую строку, как вы можете сделать:
sed 's/
and/ and/g' infile
0
ron
01.10.2020, 00:54
Ссылка
1 ответ
Это решение?
- Отредактируйте
/etc/groupи создайте новую группу с именем аудит с уникальным идентификатором - Добавить определенных пользователей, у которых нет root-доступа, в эту группу аудита
- отредактируйте
/etc/audit/auditd.confи изменитеlog_group = rootнаlog_group = audit4, перезапустите службу аудита и наблюдайте
drwxr-x---. 2 root audit 4096 Sep 30 18:04 /var/log/audit
-rw-r-----. 1 root audit 43040 Sep 30 18:06 /var/log/audit/audit.log
Я понимаю, что это может быть глупо, поскольку скопированным журналом аудита можно просто манипулировать. Я полагаю, может быть, сохранить копию необработанного журнала аудита, принадлежащую root.root, вместе с контрольной суммой SHA? В противном случае, кому лучше знать, если пользователь аудита манипулировал файлом журнала?
0
ron
18.03.2021, 23:01
Ссылка