赞
踩
定义reboot系统后,仍然生效的审计规则,有两种办法:
1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/augenrules --load
以上两种方法都有对应的命令:
1、auditctl -R path-to-rules,如
auditctl -R /etc/audit/rules.d/30-pci-dss.rules
2、augenrules --load
使用这个命令可以将/etc/audit/rules.d目录下的规则,按照顺序编辑到audit.rules中。
在/usr/share/doc/audit/rules/路径下,audit包提供了已经配置好的规则文件,用于各种认证,如PCI DSS,STIG等。如下:
linux-xdYUnA:/usr/share/doc/audit-2.7.6/rules # ll
total 96
-rw-r--r-- 1 root root 163 Mar 29 17:19 10-base-config.rules
-rw-r--r-- 1 root root 284 Apr 19 2017 10-no-audit.rules
-rw-r--r-- 1 root root 93 Apr 19 2017 11-loginuid.rules
-rw-r--r-- 1 root root 329 Apr 19 2017 12-c
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。