Problèmes avec les fichiers de règles auditd

J'ai un problème de création de règles auditd dans CentOS 7.

j'ai 2


        .rules

Fichiers dans la mienne


        /etc/audit/rules.d/

catalogue. Les deux fichiers appartiennent à l'utilisateur root, seul root A accès. Quand je redémarre les règles en utilisant


        augenrules --load

puis courir


        auditctl -l

ça dit


        No rules

. Mais si je regarde le contenu


        /etc/audit/audit.rules

Il dit qu'il a été généré automatiquement à partir de fichiers .rules Et contient toutes mes règles des deux fichiers.

Si je déplace l'un de mes


        .rules

Fichiers de ce répertoire et redémarrez les règles, tout fonctionne bien. Le problème ne se produit que lorsque j'ai les deux fichiers. Je pensais ce sens


        rules.d

Le catalogue était que vous pourriez avoir plusieurs ensembles de règles? Il y a des idées qui me manquent?
2021-03-13 ajouter un commentaire
Partager ceci

Aucun résultat connexe trouvé

    Invité:

    Catherine

    Confirmation de:

    D'accord. En complétude, je pense que le problème était que, puisque dans le résultat /etc/audit/audit.rules Il y avait une erreur quand auditd J'ai essayé de redémarrer, il a reçu une erreur et si l'une des premières directives devait supprimer toutes les règles précédentes , Ensuite, vous n'avez aucune règle. IE

    [root@stroomfp0 audit]# cat /etc/audit/audit.rules
    
## This file is automatically generated from /etc/audit/rules.d
    
-w /etc/docker/daemon.json -p wa -k docker CIS-1.11
    

    
[root@stroomfp0 audit]# 
    
[root@stroomfp0 audit]# service auditd restart
    
Stopping logging:                                          [  OK  ]
    
Redirecting start to /bin/systemctl start auditd.service
    
[root@stroomfp0 audit]# tail /var/log/messages
    
Jun 27 21:16:17 stroomfp0 systemd: Starting Security Auditing Service...
    
Jun 27 21:16:18 stroomfp0 auditd[10342]: Started dispatcher: /sbin/audispd pid: 10346
    
Jun 27 21:16:18 stroomfp0 audispd: No plugins found, exiting
    
Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.008:701): 
    
audit_enabled=1 old=1 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
    
Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.010:702): audit_pid=10342 old=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
    
Jun 27 21:16:18 stroomfp0 augenrules: /sbin/augenrules: No change
    
Jun 27 21:16:18 stroomfp0 auditctl: parameter passed without an option given
    
Jun 27 21:16:18 stroomfp0 auditctl: There was an error in line 5 of /etc/audit/audit.rules
    
Jun 27 21:16:18 stroomfp0 auditd[10342]: Init complete, auditd 2.6.5 listening for events (startup state enable)
    
Jun 27 21:16:18 stroomfp0 systemd: Started Security Auditing Service.
    
[root@stroomfp0 audit]#

    Après avoir corrigé l'erreur, reproduisez les fichiers de règles et le redémarrage résultant auditd Démontré que tout fonctionne.

    Histoire morale, vérifiez toujours le journal du message

    
          weird activity

    :-)
    2021-03-14 0 0
    Partager ceci
    Pourquoi est-ce complexe? 0 réponses ont été bouchées

    Pour répondre aux questions, connectez-vous ou registre

    Copyright © 2023, All Rights Reserved