web-dev-qa-db-ja.com

Centos7で/etc/audit/audit.rulesを生成する正しい方法は何ですか?

Centos7の/etc/audit/audit.rulesの上部に表示されます。

## This file is automatically generated from /etc/audit/rules.d

さて、私は行って見て、/etc/audit/rules.d/audit.rulesを見つけました。次の行がありました

# Feel free to add below this line. See auditctl man page

私がしたこと、そして多分それがオプションだったようなlookedを見つけました:

 -R file
        Read rules from a file. The rules must be 1 per line and in the order that they are to be executed in. The rule file must  be
        owned  by  root  and not readable by other users or it will be rejected. The rule file may have comments embedded by starting
        the line with a '#' character. Rules that are read from a file are identical to what you would type on a command line  except
        they  are  not preceded by auditctl (since auditctl is the one executing the file) and you would not use Shell escaping since
        auditctl is reading the file instead of bash.

しかし、私はauditctl -R /etc/audit/rules.d/audit.rulesを実行しました。これは機能しているようですただし/etc/audit/audit.rulesには何もしませんでした。

そのファイルを再生成する正しい方法は何ですか?

2
Wayne Werner

ユーティリティaugenrulesは、ディレクトリ/etc/audit/rules.dにある* .rulesファイルから/etc/audit/audit.rulesを構築します。

このユーティリティは、auditdサービスから呼び出されます(または、手動で呼び出してから、検出されたルールファイルをロードすることもできますが、サービスの再起動は簡単です)。

Auditdシステムがsystemdをネイティブで使用できない理由を思い出せません。 [email protected]メーリングリストのアーカイブを確認してください。

7
BurnA