我正在build立一个PCI DSS环境,并面临下一个问题。 在安装de OS(CentOS 7.3 Minimal)时,我select了“PCI DSS”configuration文件。
当我检查在/etc/audit/audit.rules上应用的规则时,有很多规则,我只是保留其中的2或3个。
所以我修改了包含规则的文件并重新加载它们。 直到这一点没有问题。
我所面对的是,每次重新启动auditd.service时,我的自定义规则都会被PCI DSSconfiguration文件强制覆盖。
我也会尝试用我的自定义规则创build一个文件,让我们来说/etc/audit/audit-custom.rules 。 我可以使用命令auditctl -R /etc/audit/audit-custom.rules导入规则,并在那一刻如果我执行auditctl -l我只有在我的custom.rules文件中定义的规则。
问题是,当我重新启动auditd服务时,每次都需要在/etc/audit/audit.rules定义的规则。 即使我删除了所有的规则,并将我的自定义规则放在默认规则configuration文件中,在重新启动服务之后,auditd覆盖了我的自定义规则
任何人有任何线索如何防止这种行为?
在此先感谢您的帮助
好的,所以最后经过这个周末的一些研究,我find了答案。
如果你想逃避auditd覆盖你的自定义规则与安全configuration文件施加的限制,这是程序
编辑下一个文件/etc/systemd/system/multi-user.target.wants/auditd.service并注释以下行
# ExecStartPost=-/sbin/augenrules --load
接下来,您必须重新加载systemctl守护进程:
systemctl daemon-reload
现在您可以通过以下方式导入您的规则:
auditctl -R /etc/audit/audit-custom.rules
您现在可以重新启动auditd服务或重新启动您的服务器,避免auditd覆盖您的自定义规则