Linux auditd Ansible 角色

Ansible 角色，用于设置和配置 Linux auditd。

可能的 R 可视化。

要求与依赖

Ansible

已在以下版本测试：

• 2.2
• 2.5
• 2.10

操作系统

• Ubuntu 16.04、18.04、20.04
• CentOS 7、8
• Suse 12.x、15.x

示例剧本

只需在列表中包含这个角色。 例如：

- hosts: all
  roles:
    - juju4.auditd

变量

目前没有特定的变量。

持续集成

这个角色有基本的 Travis 测试（用于 GitHub），更高级的测试使用 Kitchen，并且有一个 Vagrantfile（test/vagrant）。 默认的 Kitchen 配置（.kitchen.yml）基于 LXD，而（.kitchen.vagrant.yml）则基于 Vagrant/VirtualBox。

确保所有必要的角色都已存在后，可以使用以下命令进行测试：

$ gem install kitchen-ansible kitchen-lxd_cli kitchen-sync kitchen-vagrant
$ cd /path/to/roles/juju4.auditd
$ kitchen verify
$ kitchen login
$ KITCHEN_YAML=".kitchen.vagrant.yml" kitchen verify

或：

$ cd /path/to/roles/juju4.auditd/test/vagrant
$ vagrant up
$ vagrant ssh

故障排除与已知问题

• 由于 auditd 与内核相关，在容器内执行时该角色不会做任何更改。

• 观察到 watchdog: BUG: soft lockup - CPU#0 stuck for Xs! [kauditd:22]、audit: backlog limit exceeded、audit: kauditd hold queue overflow 的错误，即使在 grub 中设置了 audit_backlog_limit=8192。 添加了变量 auditd_grub_enable，默认为 false，请谨慎使用。 关于 4.11 中的 kauditd hold queue overflow，2017年9月 启动期间的事件溢出，2017年5月

参考资料

• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/chap-system_auditing.html
• https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-starting_the_audit_service.html
• https://github.com/bfuzzy/auditd-attack
• https://github.com/Neo23x0/auditd/

许可证

BSD 2-Clause