助け合いフォーラム
LPIC Lv3-303(Ver2.0)
問題ID : 10896
問題を開く
Auditにおいて、「open」「close」を除くすべてのシステムコールの監視を行いたい。以下のコマンドラインの空欄に当てはまるものはどれか。
auditctl -a always,exit -S all
auditctl -a ______,exit -S open,close
この問題はプレミアムコンテンツです。
Auditルールの設定順序について
k
kz5835
公開日 2024/02/25
この問題の内容とコマンドラインの記載は、以下です。
Auditにおいて、「open」「close」を除くすべてのシステムコールの監視を行う。
①auditctl -a always,exit -S all
②auditctl -a never,exit -S open,close
①の方が上に記載されているため、上から順番に実行すると、open,closeも
①に合致するので、監査ログが記録されそうに思われます。
上記の記載順序で、「open」「close」が除かれるとすると、その理由は
設定順序に関わらず、alwaysよりもneverが優先されるからでしょうか。
上記設定順序で②が優先される理由について、ご存じの方がおられたら
教えて下さい。
宜しくお願いします。
2024/02/28 21:07
Audit の設定の優先度は
・設定順が上の方が優先される
・より具体的な設定があれば上書きされる
という動作をしたはずです。
ただ audit.rules や auditctl の man に優先度についての記載が見当たらないので記憶だけで申し訳ないのですが。。
(一応、ChatGPTに尋ねたら同じ回答をしてくれました)
今回の場合は「すべてのシステムコールを記録する」よりも
「openとcloseを除外する」という具体的な設定の方が優先されるのではないかなと思います。
コメント
この投稿に対して返信しませんか?
k kz5835
2024/02/29 01:25
ご回答、有難うございます。おかげさまで、理解できました。