審核對審核日誌的更改

出於 PCI 合規性原因，我已配置 auditd

PCI 聲明現有日誌不能在不生成警報的情況下更改

這篇文章http://ptresearch.blogspot.com/2010/11/requirement-10-track-and-monitor-all.html建議這樣做：

-w /var/log/ -k Logs_Accessed -p rwxa

這個 auditctl 命令會起作用嗎？當然，您最終會陷入一個循環，一個審計事件寫入日誌引發另一個審計事件等？

您的審計命令行將完美執行。但是，如果您想要一些額外的保護層：

• 使用 chattr 將您的日誌更改為僅附加
• 有一個集中的日誌伺服器
• 使用 SElinux 規則設置一個規則，只強制執行 syslog 和守護程序本身可以寫入 /var/log
• 使用 Unix 權限來確保 /var/log 只有幾個人可以訪問。

該文章中該部分之後的部分指出"These messages are processed by daemon syslog, not auditd."

據推測，這意味著 syslog 守護程序被配置為遠端而不是本地記錄這些特定消息。

從安全形度來看，這很聰明，因為如果您記錄某人正在更改他們正在更改的同一文件中的文件的事實，他們也可以簡單地刪除該條目。如果您遠端記錄它們，攻擊者將很難修改它們。這些消息的遠端記錄也解決了您的編輯循環問題。

auditd自己可能有一個例外來解決這個循環問題，但作者可能只是希望你不要一開始就創建循環。

引用自：https://serverfault.com/questions/351896