, у меня возникает проблема с созданием правил auditd в CentOS 7.
У меня есть 2 файла .rules
в моем / etc / audit / rules. d /
каталог. Оба файла принадлежат пользователю root, и только root имеет доступ. Когда я перезагружаю правила, используя augenrules --load
, затем выполняю auditctl -l
, он говорит Нет правил
. Однако, если я посмотрю на содержимое /etc/audit/audit.rules
, там будет сказано, что оно было автоматически сгенерировано из файлов .rules и содержит все мои правила из обоих файлов.
Если я перемещаю один из моих файлов .rules
из этого каталога и перезагружаю правила, он работает нормально. Проблема возникает только тогда, когда у меня есть оба файла. Я думал, что суть каталога rules.d
в том, что у вас может быть несколько наборов правил? Любые идеи, что я m отсутствует?
Хорошо. Для полноты, я считаю, что проблема заключалась в том, что, поскольку в результирующем /etc/audit/audit.rules была ошибка, когда auditd пытался перезапустить, он получал ошибку, и если одна из первых директив заключалась в удалении всех предыдущих правил , то у вас нет правил. IE
[root@stroomfp0 audit]# cat /etc/audit/audit.rules
## This file is automatically generated from /etc/audit/rules.d
-w /etc/docker/daemon.json -p wa -k docker CIS-1.11
[root@stroomfp0 audit]#
[root@stroomfp0 audit]# service auditd restart
Stopping logging: [ OK ]
Redirecting start to /bin/systemctl start auditd.service
[root@stroomfp0 audit]# tail /var/log/messages
Jun 27 21:16:17 stroomfp0 systemd: Starting Security Auditing Service...
Jun 27 21:16:18 stroomfp0 auditd[10342]: Started dispatcher: /sbin/audispd pid: 10346
Jun 27 21:16:18 stroomfp0 audispd: No plugins found, exiting
Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.008:701):
audit_enabled=1 old=1 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.010:702): audit_pid=10342 old=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
Jun 27 21:16:18 stroomfp0 augenrules: /sbin/augenrules: No change
Jun 27 21:16:18 stroomfp0 auditctl: parameter passed without an option given
Jun 27 21:16:18 stroomfp0 auditctl: There was an error in line 5 of /etc/audit/audit.rules
Jun 27 21:16:18 stroomfp0 auditd[10342]: Init complete, auditd 2.6.5 listening for events (startup state enable)
Jun 27 21:16:18 stroomfp0 systemd: Started Security Auditing Service.
[root@stroomfp0 audit]#
После того, как вы исправили ошибку, восстановили файлы правил, и результирующий перезапуск auditd продемонстрировал, что все работает.
Мораль истории, всегда проверяйте журнал сообщений о странном действии
: -)