linuxaudit审计(6)--audit永久⽣效的规则配置
定义reboot系统后,仍然⽣效的审计规则,有两种办法:
1、直接写⼊/etc/audit/audit.rules⽂件中,在service⽂件中需要加⼊ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
2、将规则⽂件放⼊到/etc/audit/rules.d/⽬录下,在service⽂件中加⼊ExecStartPost=-/sbin/augenrules --load
以上两种⽅法都有对应的命令:
1、auditctl -R path-to-rules,如
auditctl -R /etc/audit/rules.d/30-pci-dss.rules
2、augenrules --load
使⽤这个命令可以将/etc/audit/rules.d⽬录下的规则,按照顺序编辑到audit.rules中。
在/usr/share/doc/audit/rules/路径下,audit包提供了已经配置好的规则⽂件,⽤于各种认证,如PCI DS
S,STIG等。如下:
linux-xdYUnA:/usr/share/doc/audit-2.7.6/rules # ll
total 96
-rw-r--r-- 1 root root  163 Mar 29 17:19 10-base-config.rules
-rw-r--r-- 1 root root  284 Apr 19  2017 10-no-audit.rules
免费永久的linux服务器
-rw-r--r-- 1 root root  93 Apr 19  2017 11-loginuid.rules
-rw-r--r-- 1 root root  329 Apr 19  2017 12-cont-fail.rules
-rw-r--r-- 1 root root  323 Apr 19  2017 12-ignore-error.rules -rw-r--r-- 1 root root 516 Apr 19 2017 20-dont-audit.rules -rw-r--r-- 1 root root 273 Apr 19 2017 21-no32bit.rules -rw-r--r-- 1 root root 252 Apr 19 2017 22-ignore-chrony.rules -rw-r--r-- 1 root root 4915 Apr 19 2017 30-nispom.rules -rw-r--r-- 1 root root 5952 Apr 19 2017 30-pci-dss-v31.rules -rw-r--r-- 1 root root 6663 Apr 19 2017 30-stig.rules -rw-r--r-- 1 root root 1498 Apr 19 2017 31-privileged.rules -rw-r--r-- 1 root root 218 Apr 19 2017 32-power-abuse.rules -rw-r--r-- 1 root root 156 Apr 19 2017 40-local.rules -rw-r--r-- 1 root root 439 Apr 1
9 2017 41-containers.rules -rw-r--r-- 1 root root 672 Apr 19 2017 42-injection.rules -rw-r--r-- 1 root root 424 Apr 19 2017 43-module-load.rules -rw-r--r-- 1 root root 326 Apr 19 2017 70-einval.rules -rw-r--r-- 1 root root 151 Apr 19 2017 71-networking.rules -rw-r--r-- 1 root root 86 Apr 19 2017 99-finalize.rules -rw-r--r-- 1 root root 1202 Apr 19 2017 README-rules
注意,每个rules有⼀个数字,这些表⽰的是加载顺序。如果需要pci-dss认证的规则,可以将10-base-config,30-pci-dss-v31,以及99-finalize拷贝到rules.d⽬录下。然后再使⽤augenrules --load命令把这些规则加载进来。
这些规则分类如下:
10 - Kernel and auditctl configuration
20 - Rules that could match general rules but you want a different match
30 - Main rules
40 - Optional rules
50 - Server-specific rules
70 - System local rules
90 - Finalize (immutable)
使⽤auditctl -R可以加载多个规则⽂件,不会覆盖,使⽤augenrules --load后,之前的规则就没有了。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。