Я настраиваю среду PCI DSS и сталкиваюсь со следующей проблемой. При установке ОС (CentOS 7.3 Minimal) я выбрал профиль «PCI DSS».
Когда я проверял правила, применяемые в /etc/audit/audit.rules, там было огромное количество правил, и мне было просто интересно сохранить 2 или 3 из них.
Итак, я изменил файл, содержащий правила, и перезагрузил их. До этого момента никаких проблем.
Я сталкиваюсь с тем, что каждый раз, когда я перезапускаю auditd.service, мои пользовательские правила перезаписываются правилами, установленными профилем PCI DSS.
Я также попробую создать файл с моими собственными правилами, скажем так /etc/audit/audit-custom.rules. Я могу импортировать правила с помощью команды auditctl -R /etc/audit/audit-custom.rules и в тот момент, если я выполню auditctl -l У меня есть только правила, определенные в моем файле custom.rules.
Проблема в том, что когда я перезапускаю службу auditd, каждый раз требуется, чтобы правила, определенные в /etc/audit/audit.rules. Даже если я стираю все правила и помещаю свои собственные правила в файл конфигурации правил по умолчанию, после перезапуска службы auditd перезаписывает мои пользовательские правила.
Кто-нибудь знает, как предотвратить такое поведение ??
Заранее спасибо за вашу помощь
Итак, наконец, после небольшого исследования в эти выходные я нашел ответ.
Если вы хотите исключить, что auditd перезаписывает ваши пользовательские правила с ограничениями, налагаемыми профилем безопасности, это процедура
Отредактируйте следующий файл /etc/systemd/system/multi-user.target.wants/auditd.service и прокомментируйте следующую строку
# ExecStartPost=-/sbin/augenrules --load
Затем вам нужно перезагрузить демон systemctl:
systemctl daemon-reload
Теперь вы сможете импортировать свои правила с помощью:
auditctl -R /etc/audit/audit-custom.rules
Теперь вы можете перезапустить auditd или перезагрузите сервер, избегая этого auditd перезаписывает ваши собственные правила