auditd 不保存规则，并在每次守护进程重新启动后覆盖已编辑的规则

Question

不要/etc/audit/audit.rules直接编辑，就像文件顶部所说的那样，它的内容是生成的：

## This file is automatically generated from /etc/audit/rules.d

您需要将自定义规则放置在/etc/audit/rules.d/.例如：

/etc/audit/rules.d/acmecorp.rules：

-a user,never -F uid=zabbix -F exe=/usr/bin/sudo

您可以/etc/audit/audit.rules使用该augenrules实用程序重新生成：

$ augenrules --check
/sbin/augenrules: Rules have changed and should be updated

$ augenrules --load
No rules
enabled 1
failure 1
pid 1114646
[..]

这些规则现在应该出现在/etc/audit/audit.rules并且应该处于活动状态。您可以检查auditctl -l：

$ auditctl -l
-a never,user -F uid=114 -F exe=/usr/bin/sudo

Answer 1

不要/etc/audit/audit.rules直接编辑，就像文件顶部所说的那样，它的内容是生成的：

## This file is automatically generated from /etc/audit/rules.d

您需要将自定义规则放置在/etc/audit/rules.d/.例如：

/etc/audit/rules.d/acmecorp.rules：

-a user,never -F uid=zabbix -F exe=/usr/bin/sudo

您可以/etc/audit/audit.rules使用该augenrules实用程序重新生成：

$ augenrules --check
/sbin/augenrules: Rules have changed and should be updated

$ augenrules --load
No rules
enabled 1
failure 1
pid 1114646
[..]

这些规则现在应该出现在/etc/audit/audit.rules并且应该处于活动状态。您可以检查auditctl -l：

$ auditctl -l
-a never,user -F uid=114 -F exe=/usr/bin/sudo

相关内容