碼上歡樂
相關內容    簡體    繁體

linux audit審計(6)--audit永久生效的規則配置

本文轉載自   查看原文   2018-04-11 15:25   3083    linux

定義reboot系統后,仍然生效的審計規則,有兩種辦法:

1、直接寫入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules

2、將規則文件放入到/etc/audit/rules.d/目錄下,在service文件中加入ExecStartPost=-/sbin/augenrules --load

以上兩種方法都有對應的命令:

1、auditctl -R path-to-rules,如

auditctl -R /etc/audit/rules.d/30-pci-dss.rules

2、augenrules --load

使用這個命令可以將/etc/audit/rules.d目錄下的規則,按照順序編輯到audit.rules中。

在/usr/share/doc/audit/rules/路徑下,audit包提供了已經配置好的規則文件,用於各種認證,如PCI DSS,STIG等。如下:

linux-xdYUnA:/usr/share/doc/audit-2.7.6/rules # ll
total 96
-rw-r--r-- 1 root root  163 Mar 29 17:19 10-base-config.rules -rw-r--r-- 1 root root 284 Apr 19 2017 10-no-audit.rules -rw-r--r-- 1 root root 93 Apr 19 2017 11-loginuid.rules -rw-r--r-- 1 root root 329 Apr 19 2017 12-cont-fail.rules -rw-r--r-- 1 root root 323 Apr 19 2017 12-ignore-error.rules -rw-r--r-- 1 root root 516 Apr 19 2017 20-dont-audit.rules -rw-r--r-- 1 root root 273 Apr 19 2017 21-no32bit.rules -rw-r--r-- 1 root root 252 Apr 19 2017 22-ignore-chrony.rules -rw-r--r-- 1 root root 4915 Apr 19 2017 30-nispom.rules -rw-r--r-- 1 root root 5952 Apr 19 2017 30-pci-dss-v31.rules -rw-r--r-- 1 root root 6663 Apr 19 2017 30-stig.rules -rw-r--r-- 1 root root 1498 Apr 19 2017 31-privileged.rules -rw-r--r-- 1 root root 218 Apr 19 2017 32-power-abuse.rules -rw-r--r-- 1 root root 156 Apr 19 2017 40-local.rules -rw-r--r-- 1 root root 439 Apr 19 2017 41-containers.rules -rw-r--r-- 1 root root 672 Apr 19 2017 42-injection.rules -rw-r--r-- 1 root root 424 Apr 19 2017 43-module-load.rules -rw-r--r-- 1 root root 326 Apr 19 2017 70-einval.rules -rw-r--r-- 1 root root 151 Apr 19 2017 71-networking.rules -rw-r--r-- 1 root root 86 Apr 19 2017 99-finalize.rules -rw-r--r-- 1 root root 1202 Apr 19 2017 README-rules

注意,每個rules有一個數字,這些表示的是加載順序。如果需要pci-dss認證的規則,可以將10-base-config,30-pci-dss-v31,以及99-finalize拷貝到rules.d目錄下。然后再使用augenrules --load命令把這些規則加載進來。

這些規則分類如下:

10 - Kernel and auditctl configuration
20 - Rules that could match general rules but you want a different match
30 - Main rules
40 - Optional rules
50 - Server-specific rules
70 - System local rules
90 - Finalize (immutable)

 

使用auditctl -R可以加載多個規則文件,不會覆蓋,使用augenrules --load后,之前的規則就沒有了。

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 linux audit審計(5)--audit規則配置 linux audit審計(3)--audit服務配置 linux audit審計(2)--audit啟動 用Audit守護進程配置和審計Linux系統 linux的審計功能(audit) linux audit審計讀懂audit日志 linux audit審計(7-1)--讀懂audit日志 linux audit審計(7)--讀懂audit日志 linux audit審計(8)--ausearch搜索audit日志文件 linux audit審計(8)--開啟audit對系統性能的影響
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM