在CentOS 7上产生审计规则时遇到问题。
我在/etc/audit/rules.d/目录中有2个.rules文件。 这两个文件都由root拥有,只有root可以访问。 当我重新加载规则使用augenrules --load然后运行auditctl -l它说No rules 。 然而,如果我看看/etc/audit/audit.rules的内容,它确实表示它已经从.rules文件中自动生成,并且包含我的两个文件中的所有规则。
如果我将.rules文件移出该目录,并重新加载规则,则可以正常工作。 这个问题似乎只有当我有两个文件在那里。 我认为rules.d目录的重点是你可以有多个规则集? 任何想法我失踪?
好。 为了完整性,我认为问题在于,由于/etc/audit/audit.rules产生了错误,当auditd尝试重新启动时,出现错误,如果其中一条指令是删除所有以前的规则那么你最终没有制定规则。 IE
[root@stroomfp0 audit]# cat /etc/audit/audit.rules ## This file is automatically generated from /etc/audit/rules.d -w /etc/docker/daemon.json -p wa -k docker CIS-1.11 [root@stroomfp0 audit]# [root@stroomfp0 audit]# service auditd restart Stopping logging: [ OK ] Redirecting start to /bin/systemctl start auditd.service [root@stroomfp0 audit]# tail /var/log/messages Jun 27 21:16:17 stroomfp0 systemd: Starting Security Auditing Service... Jun 27 21:16:18 stroomfp0 auditd[10342]: Started dispatcher: /sbin/audispd pid: 10346 Jun 27 21:16:18 stroomfp0 audispd: No plugins found, exiting Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.008:701): audit_enabled=1 old=1 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1 Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.010:702): audit_pid=10342 old=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1 Jun 27 21:16:18 stroomfp0 augenrules: /sbin/augenrules: No change Jun 27 21:16:18 stroomfp0 auditctl: parameter passed without an option given Jun 27 21:16:18 stroomfp0 auditctl: There was an error in line 5 of /etc/audit/audit.rules Jun 27 21:16:18 stroomfp0 auditd[10342]: Init complete, auditd 2.6.5 listening for events (startup state enable) Jun 27 21:16:18 stroomfp0 systemd: Started Security Auditing Service. [root@stroomfp0 audit]#
一旦你纠正了错误,重新生成了规则文件,并由此产生的审计重启展示了一切工作。
道德的故事,总是检查消息loginweird activity 🙂