Prevent stop audited service in Redhat 7

Question

Natürlich möchte ich audited service für immer laufen und Benutzer kann nicht über irgendwelche Befehle zu stoppen.

Aktuelle mein auditd Service:

~]# systemctl cat auditd 

# /usr/lib/systemd/system/auditd.service 
[Unit] 
Description=Security Auditing Service 
DefaultDependencies=no 
After=local-fs.target systemd-tmpfiles-setup.service 
Conflicts=shutdown.target 
Before=sysinit.target shutdown.target 
RefuseManualStop=yes 
ConditionKernelCommandLine=!audit=0 

[Service] 
ExecStart=/sbin/auditd -n 
## To not use augenrules, copy this file to /etc/systemd/system/auditd.service 
## and comment/delete the next line and uncomment the auditctl line. 
## NOTE: augenrules expect any rules to be added to /etc/audit/rules.d/ 
ExecStartPost=-/sbin/augenrules --load 
#ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules 
ExecReload=/bin/kill -HUP $MAINPID 

[Install] 
WantedBy=multi-user.target 


# /etc/systemd/system/auditd.service.d/override.conf 
[Service] 
ExecReload= 
ExecReload=/bin/kill -HUP $MAINPID ; /sbin/augenrules --load 

Ich kann diesen Dienst nicht aus Befehl stoppen:

# systemctl stop auditd.service 

Failed to stop auditd.service: Operation refused, unit auditd.service may be requested by dependency only. 

Aber wenn ich service auditd stop Befehl. Ich kann diesen Dienst normalerweise stoppen.

# service auditd stop 
Stopping logging:           [ OK ] 

Wie kann ich es verhindern? Danke

Answer 1

Der Administrator (root) wird immer in der Lage sein, den auditd Prozess manuell zu beenden (was der Befehl tut). Was systemd hier tut, ist nur, um zu verhindern, dass der Administrator es über die System-Schnittstelle tut.

In beiden Fällen können nicht privilegierte Benutzer den Daemon nicht beenden.

Wenn Sie sogar einschränken möchten, was root kann, müssen Sie SELinux verwenden und die Richtlinie anpassen.