auditd
Ubuntuはいくつかのルールを適用しようとしていますが、ファイルを編集してデーモンを再起動するたびに新しいaudit.rules
ファイルがauditd
作成されます。同じファイルをどのようにアーカイブできますか?
答え1
/etc/audit/audit.rules
ファイルの上部に示すように直接編集しないでください。コンテンツが作成されます。
## This file is automatically generated from /etc/audit/rules.d
カスタムルールを配置する必要があります/etc/audit/rules.d/
。たとえば、次のようになります。
/etc/audit/rules.d/acmecorp.rules
:
-a user,never -F uid=zabbix -F exe=/usr/bin/sudo
/etc/audit/audit.rules
このユーティリティを使用して、以下を再生成できますaugenrules
。
$ augenrules --check
/sbin/augenrules: Rules have changed and should be updated
$ augenrules --load
No rules
enabled 1
failure 1
pid 1114646
[..]
これで、これらのルールが表示され、/etc/audit/audit.rules
アクティブになります。あなたは確認することができますauditctl -l
:
$ auditctl -l
-a never,user -F uid=114 -F exe=/usr/bin/sudo