私は最近32ビットRHEL 6.9システムでファイルを変更しましたが、最後にファイルを変更できないようにする必要があるため、新しいルールを適用するには再起動する必要があることaudit.rules
を知っています。-e 2
したがって、マシンが再起動され、auditd
サービスが正しく開始され、コマンドを実行すると、予想されるルールがロードauditctl -l
されたことが確認されます。
ただし、再起動し、監査ルールが正しくロードされていることを確認したら、次のコマンドを実行するたびに次の手順を実行します。
service auditd restart
出力は次のとおりです。
Stopping auditd: [ OK ]
Error deleting rule (Operation not permitted)
Error sending enable request (Operation not permitted)
Starting auditd: [ OK ]
audit.rules
私が知りたいのは、再起動後に新しいルールがファイルに追加されない理由です。これらのエラーはなぜ発生しますか?
私が理解したのは、ファイルが変更不可能に設定されていて、実行時に新しいルールをロードしようとした場合にのみポップアップを表示する必要があります。
答え1
「-e 2」を設定すると、 auditd の設定を有効にしてロックできるので変更できません。したがって、再起動時に発生したように停止することはできません。監査を中断することは変わります。あなたはそのようなことが起こらないように指示しました。そのため、再起動しようとするとこのエラーが発生します。 auditdを有効にして変更できないようにするには、「-e 1」を設定して再起動するか、「-e 2」を設定した状態で変更するには、再起動してください。
答え2
"auditctl -a"を使用してすぐに適用されますが、再起動後も保持されない監査ルールを追加できます。これを永続化するには、ランタイムと永続性が同期するように audit.rules ファイルに書き込みます。 auditd サービスの経験的規則は、serviceauditdstart/restart を使用して auditd を開始できないことです。 auditdを起動/再起動するには、再起動が必要です。