我正在设置 PCI DSS 环境,面临下一个问题。安装操作系统 (CentOS 7.3 Minimal) 时,我选择了配置文件“PCI DSS”。
当我检查 /etc/audit/audit.rules 上应用的规则时,发现有大量的规则,而我只想保留其中的 2 条或 3 条。
所以我修改了包含规则的文件并重新加载它们。到目前为止没有问题。
我面临的问题是,每次我重新启动 auditd.service 时,我的自定义规则都会被 PCI DSS 配置文件强加的规则覆盖。
我还将尝试创建一个包含自定义规则的文件,比如说/etc/audit/audit-custom.rules
。我可以使用命令导入规则auditctl -R /etc/audit/audit-custom.rules
,此时如果我执行,auditctl -l
我只会得到我在 custom.rules 文件中定义的规则。
问题是,当我重新启动 auditd 服务时,它每次都会执行 中定义的规则/etc/audit/audit.rules
。即使我删除所有规则并将自定义规则放入默认规则配置文件中,重新启动服务后,auditd 也会覆盖我的自定义规则
有人知道如何防止这种行为吗?
在此先感谢您的帮助
答案1
好的,经过这个周末的一番研究,我终于找到了答案。
如果你想避免 auditd 使用安全配置文件施加的限制覆盖你的自定义规则,可以按照以下步骤操作
编辑下一个文件
/etc/systemd/system/multi-user.target.wants/auditd.service
并注释掉以下行# ExecStartPost=-/sbin/augenrules --load
接下来,您必须重新加载 systemctl 守护程序:
systemctl daemon-reload
现在你可以使用以下命令导入你的规则:
auditctl -R /etc/audit/audit-custom.rules
您现在可以重新启动
auditd
服务或重新启动服务器,避免auditd
覆盖您的自定义规则