PCI DSS環境をセットアップしていて、次の問題に直面しています。deOS(CentOS 7.3 Minimal)をインストールするときに、プロファイル「PCIDSS」を選択しました。
/etc/audit/audit.rulesに適用されているルールをチェックインしたとき、非常に多くのルールがあり、そのうちの2つまたは3つを保持することに興味がありました。
そこで、ルールを含むファイルを変更してリロードしました。この時点まで問題ありません。
私が直面しているのは、auditd.serviceを再起動するたびに、カスタムルールがPCI DSSプロファイルによって課されたルールで上書きされることです。
カスタムルールを使用してファイルを作成することも試みます。/etc/audit/audit-custom.rules
としましょう。コマンドauditctl -R /etc/audit/audit-custom.rules
を使用してルールをインポートできます。その瞬間、auditctl -l
を実行すると、custom.rulesファイルでルールが定義されます。
問題は、auditdサービスを再起動すると、/etc/audit/audit.rules
で定義されたルールが毎回かかることです。すべてのルールを消去してカスタムルールをデフォルトのルール構成ファイル内に配置しても、サービスの再起動後、auditdがカスタムルールを上書きします
この動作を防ぐ方法については誰でも手がかりがありますか??
よろしくお願いします
さて、ついに今週末のちょっとした調査の結果、答えが見つかりました。
Auditdがカスタムルールをセキュリティプロファイルによって課された制約で上書きすることを明らかにしたい場合、これは手順です
次のファイルを編集する/etc/systemd/system/multi-user.target.wants/auditd.service
そして次の行にコメントします
# ExecStartPost=-/sbin/augenrules --load
次に、systemctlデーモンをリロードする必要があります。
systemctl daemon-reload
これで、次のコマンドを使用してルールをインポートできるようになります。
auditctl -R /etc/audit/audit-custom.rules
これで、auditd
サービスを再起動するか、サーバーを再起動して、auditd
がカスタムルールを上書きしないようにすることができます。