問題
以下に示すように、構成ファイル /etc/audit/rules.d/audit.rules に新しい監査ルールを追加しました:
# vi /etc/audit/rules.d/audit.rules -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change -a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale
ただし、これらの構成は反映されません。
# auditctl -l No rules注意 :CentOS/RHEL 6 では、構成ファイルは /etc/audit/audit.rules です。 /etc/audit/rules.d/audit.rules の代わりに。
解決策
1.ここで最初に確認することは、ルールの構文であり、間違っている場合は修正します。たとえば、構成ファイルで構成したルールを手動で実行できます。コマンドを実行すると、コマンド ラインに構文エラーが表示されます。例:
# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change Syscall name unknown: stime The audit system is in immutable mode, no rule changes allowed
2. ルール引数「-S time」を修正し、システムを再起動します。 auditd 不変モードを無効にするには、再起動が必要です。
3. 再起動後、すべての監査ルールが反映されます。
# auditctl -l -a always,exit -F arch=x86_64 -S adjtimex,settimeofday,time,clock_settime -F key=time-change -a always,exit -F arch=x86_64 -S sethostname,setdomainname -F key=system-locale
/etc/audit/rules.d/audit.rules 構成ファイルに誤った構文を設定すると、auditd はルールの登録を停止します。したがって、間違った構文行の後のルールはすべて反映されません。