PCI DSS 环境中覆盖的审计规则

PCI DSS 环境中覆盖的审计规则

我正在设置 PCI DSS 环境,面临下一个问题。安装操作系统 (CentOS 7.3 Minimal) 时,我选择了配置文件“PCI DSS”。

当我检查 /etc/audit/audit.rules 上应用的规则时,发现有大量的规则,而我只想保留其中的 2 条或 3 条。

所以我修改了包含规则的文件并重新加载它们。到目前为止没有问题。

我面临的问题是,每次我重新启动 auditd.service 时,我的自定义规则都会被 PCI DSS 配置文件强加的规则覆盖。

我还将尝试创建一个包含自定义规则的文件,比如说/etc/audit/audit-custom.rules。我可以使用命令导入规则auditctl -R /etc/audit/audit-custom.rules,此时如果我执行,auditctl -l我只会得到我在 custom.rules 文件中定义的规则。

问题是,当我重新启动 auditd 服务时,它每次都会执行 中定义的规则/etc/audit/audit.rules。即使我删除所有规则并将自定义规则放入默认规则配置文件中,重新启动服务后,auditd 也会覆盖我的自定义规则

有人知道如何防止这种行为吗?

在此先感谢您的帮助

答案1

好的,经过这个周末的一番研究,我终于找到了答案。

如果你想避免 auditd 使用安全配置文件施加的限制覆盖你的自定义规则,可以按照以下步骤操作

  1. 编辑下一个文件/etc/systemd/system/multi-user.target.wants/auditd.service并注释掉以下行

    # ExecStartPost=-/sbin/augenrules --load

  2. 接下来,您必须重新加载 systemctl 守护程序:

    systemctl daemon-reload

  3. 现在你可以使用以下命令导入你的规则:

    auditctl -R /etc/audit/audit-custom.rules

  4. 您现在可以重新启动auditd服务或重新启动服务器,避免auditd覆盖您的自定义规则

相关内容