auditdは、ルールを保存せずに各デーモンが再起動された後に編集されたルールを上書きします。

auditdは、ルールを保存せずに各デーモンが再起動された後に編集されたルールを上書きします。

auditdUbuntuはいくつかのルールを適用しようとしていますが、ファイルを編集してデーモンを再起動するたびに新しいaudit.rulesファイルがauditd作成されます。同じファイルをどのようにアーカイブできますか?

答え1

/etc/audit/audit.rulesファイルの上部に示すように直接編集しないでください。コンテンツが作成されます。

## This file is automatically generated from /etc/audit/rules.d

カスタムルールを配置する必要があります/etc/audit/rules.d/。たとえば、次のようになります。

/etc/audit/rules.d/acmecorp.rules:

-a user,never -F uid=zabbix -F exe=/usr/bin/sudo

/etc/audit/audit.rulesこのユーティリティを使用して、以下を再生成できますaugenrules

$ augenrules --check
/sbin/augenrules: Rules have changed and should be updated

$ augenrules --load
No rules
enabled 1
failure 1
pid 1114646
[..]

これで、これらのルールが表示され、/etc/audit/audit.rulesアクティブになります。あなたは確認することができますauditctl -l

$ auditctl -l
-a never,user -F uid=114 -F exe=/usr/bin/sudo

関連情報