최근에 32비트 RHEL 6.9 시스템에서 파일을 변경했는데 , 마지막에 파일을 변경할 수 없게 만들어야 하므로 새 규칙을 적용하려면 재부팅해야 한다는 audit.rules것을 알고 있습니다 .-e 2
따라서 머신이 다시 시작되고 auditd서비스가 올바르게 시작되었으며 명령을 실행하면 auditctl -l예상된 규칙이 로드되었는지 확인됩니다.
그러나 재부팅하고 감사 규칙이 올바르게 로드되는지 확인한 후 다음 명령을 실행할 때마다 다음을 수행합니다.
service auditd restart
출력은 다음과 같습니다.
Stopping auditd: [ OK ]
Error deleting rule (Operation not permitted)
Error sending enable request (Operation not permitted)
Starting auditd: [ OK ]
audit.rules제가 알고 싶은 질문은 재부팅 이후 새 규칙이 파일에 추가되지 않는 이유입니다.이러한 오류는 왜 발생합니까?
제가 이해한 바로는 파일이 변경 불가능으로 설정되어 있고 런타임에 새 규칙을 로드하려고 하는 경우에만 팝업이 표시되어야 합니다.
답변1
"-e 2"를 설정하면 auditd의 구성을 활성화하고 잠글 수 있으므로 변경할 수 없습니다. 따라서 다시 시작할 때 발생하는 것처럼 중지할 수 없습니다. 감사를 중단하는 것은 변화가 될 것입니다. 귀하는 그러한 일이 발생하지 않도록 지시했습니다. 그렇기 때문에 다시 시작하려고 하면 이 오류가 발생합니다. auditd를 활성화하고 변경할 수 없게 하려면 "-e 1"을 설정하고 재부팅하거나, "-e 2"가 설정된 상태에서 변경하려면 재부팅하세요.
답변2
"auditctl -a"를 사용하여 즉시 적용되지만 재부팅 후에도 유지되지 않는 감사 규칙을 추가할 수 있습니다. 이를 지속성으로 만들려면 런타임과 지속성이 동기화되도록 audit.rules 파일에 작성하십시오. auditd 서비스에 대한 경험적 규칙은 serviceauditdstart/restart를 사용하여 auditd를 시작할 수 없다는 것입니다. auditd를 시작/다시 시작하려면 재부팅이 필요합니다.