Problemy z plikami reguł audytu


Mam problem z utworzeniem reguł auditd na CentOS 7.
mam 2 
       .rules
pliki w moim 
/etc/audit/rules.d/
katalog. Oba pliki są własnością użytkownika root i tylko root ma dostęp. Kiedy przeładowuję reguły za pomocą 
       augenrules --load
następnie uruchomić 
       auditctl -l
to mówi 
       No rules
... Ale jeśli spojrzę na zawartość 
/etc/audit/audit.rules
mówi, że został automatycznie wygenerowany z plików .rules i zawiera wszystkie moje reguły z obu plików.
Jeśli przeniosę jednego ze swoich 
       .rules
pliki z tego katalogu i przeładuj reguły, wszystko działa dobrze. Problem występuje tylko wtedy, gdy mam oba pliki. Myślałem, że chodzi o to 
       rules.d
czy był katalog, więc możesz mieć wiele zestawów reguł? Jakieś pomysły, czego mi brakuje?
2021-03-02 Dodaj komentarz
Udostępnij to

Nie znaleziono powiązanych wyników

    Zaproszony:
    Anonimowy użytkownik

    Anonimowy użytkownik

    Potwierdzenie od:

    W porządku. Dla kompletności uważam, że problem polegał na tym, że ponieważ wystąpił błąd w wynikowych regułach/etc/audit/audit.rules, gdy auditd próbował ponownie uruchomić, wystąpił błąd i jeśli jedna z pierwszych dyrektyw miała usunąć wszystkie poprzednie reguły , to nie masz żadnych zasad. TO ZNACZY 
    [root@stroomfp0 audit]# cat/etc/audit/audit.rules
    
## This file is automatically generated from/etc/audit/rules.d
    
-w/etc/docker/daemon.json -p wa -k docker CIS-1.11[root@stroomfp0 audit]# 
    
[root@stroomfp0 audit]# service auditd restart
    
Stopping logging:                                          [  OK  ]
    
Redirecting start to/bin/systemctl start auditd.service
    
[root@stroomfp0 audit]# tail/var/log/messages
    
Jun 27 21:16:17 stroomfp0 systemd: Starting Security Auditing Service...
    
Jun 27 21:16:18 stroomfp0 auditd[10342]: Started dispatcher:/sbin/audispd pid: 10346
    
Jun 27 21:16:18 stroomfp0 audispd: No plugins found, exiting
    
Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.008:701): 
    
audit_enabled=1 old=1 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
    
Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.010:702): audit_pid=10342 old=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
    
Jun 27 21:16:18 stroomfp0 augenrules:/sbin/augenrules: No change
    
Jun 27 21:16:18 stroomfp0 auditctl: parameter passed without an option given
    
Jun 27 21:16:18 stroomfp0 auditctl: There was an error in line 5 of/etc/audit/audit.rules
    
Jun 27 21:16:18 stroomfp0 auditd[10342]: Init complete, auditd 2.6.5 listening for events (startup state enable)
    
Jun 27 21:16:18 stroomfp0 systemd: Started Security Auditing Service.
    
[root@stroomfp0 audit]#

    Po naprawieniu błędu ponownie wygenerowano pliki reguł, a wynikające z tego ponowne uruchomienie auditd wykazało, że wszystko działa.
    Morał z tej historii, zawsze sprawdzaj dziennik wiadomości 
             weird activity
    :-)
    2021-03-02 0 0
    Udostępnij to
    Dlaczego jest złożony? 0 odpowiedzi zostało zwiniętych

    Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się

    Polityka prywatności: https://zweryfikowac.pl/Polityka-prywatnosci.pdf
    Copyright © 2023, All Rights Reserved