Вы не указали, что вы отключили ротацию журналов, поэтому нам по-прежнему необходимо разрешить auditd создавать несколько файлов.
В более общем плане вам следует сохранить текущую структуру размещения журналов аудита в выделенном audit
каталоге, если только вы не уверены в том, почему вам это не нужно. Разве ваша версия не использует эту структуру, потому что она старая? Но по крайней мере RHEL 6 использует /var/log/audit/
по умолчанию.
При условии, что вы не разрешаете переименовывать или изменять разрешения любого из каталогов-предков, достаточно ограничить auditd_log_t
для audit.log
и каталога журнала audit
.
Вышеупомянутое кажется простым для выполнения. Тогда «достаточно ограничительный» будет означать, что вы можете считать часть решения, связанную с безопасностью, решенной. Просто протестируйте что угодно и посмотрите, работает ли оно, и тогда вы поймете, что оно не является слишком ограничительным. Я не заметил здесь никаких сложностей, судя по информации, которую вы дали.
OpenSnitch — это брандмауэр приложений GNU/Linux:
Персональный брандмауэр Douane для GNU/Linux:
Вы также можете проверить firejail
, что позволяет указать сетевые ограничения:https://firejail.wordpress.com/documentation-2/basic-usage/#networking