web-dev-qa-db-ja.com

PCIで上書きされた監査済みルールDSS環境

PCI DSS環境をセットアップしていて、次の問題に直面しています。deOS(CentOS 7.3 Minimal)をインストールするときに、プロファイル「PCIDSS」を選択しました。

/etc/audit/audit.rulesに適用されているルールをチェックインしたとき、非常に多くのルールがあり、そのうちの2つまたは3つを保持することに興味がありました。

そこで、ルールを含むファイルを変更してリロードしました。この時点まで問題ありません。

私が直面しているのは、auditd.serviceを再起動するたびに、カスタムルールがPCI DSSプロファイルによって課されたルールで上書きされることです。

カスタムルールを使用してファイルを作成することも試みます。/etc/audit/audit-custom.rulesとしましょう。コマンドauditctl -R /etc/audit/audit-custom.rulesを使用してルールをインポートできます。その瞬間、auditctl -lを実行すると、custom.rulesファイルでルールが定義されます。

問題は、auditdサービスを再起動すると、/etc/audit/audit.rulesで定義されたルールが毎回かかることです。すべてのルールを消去してカスタムルールをデフォルトのルール構成ファイル内に配置しても、サービスの再起動後、auditdがカスタムルールを上書きします

この動作を防ぐ方法については誰でも手がかりがありますか??

よろしくお願いします

2
Abel

さて、ついに今週末のちょっとした調査の結果、答えが見つかりました。

Auditdがカスタムルールをセキュリティプロファイルによって課された制約で上書きすることを明らかにしたい場合、これは手順です

  1. 次のファイルを編集する/etc/systemd/system/multi-user.target.wants/auditd.serviceそして次の行にコメントします

    # ExecStartPost=-/sbin/augenrules --load

  2. 次に、systemctlデーモンをリロードする必要があります。

    systemctl daemon-reload

  3. これで、次のコマンドを使用してルールをインポートできるようになります。

    auditctl -R /etc/audit/audit-custom.rules

  4. これで、auditdサービスを再起動するか、サーバーを再起動して、auditdがカスタムルールを上書きしないようにすることができます。

2
Abel