Есть ли альтернатива Linux для брандмауэра приложений macOS?

Вы не указали, что вы отключили ротацию журналов, поэтому нам по-прежнему необходимо разрешить auditd создавать несколько файлов.

В более общем плане вам следует сохранить текущую структуру размещения журналов аудита в выделенном auditкаталоге, если только вы не уверены в том, почему вам это не нужно. Разве ваша версия не использует эту структуру, потому что она старая? Но по крайней мере RHEL 6 использует /var/log/audit/по умолчанию.

При условии, что вы не разрешаете переименовывать или изменять разрешения любого из каталогов-предков, достаточно ограничить auditd_log_tдля audit.logи каталога журнала audit.

Вышеупомянутое кажется простым для выполнения. Тогда «достаточно ограничительный» будет означать, что вы можете считать часть решения, связанную с безопасностью, решенной. Просто протестируйте что угодно и посмотрите, работает ли оно, и тогда вы поймете, что оно не является слишком ограничительным. Я не заметил здесь никаких сложностей, судя по информации, которую вы дали.