auditd는 규칙을 저장하지 않고 각 데몬이 다시 시작된 후에 편집된 규칙을 덮어씁니다.

Question

/etc/audit/audit.rules파일 상단에 표시된 대로 직접 편집 하지 마세요 . 내용이 생성됩니다.

## This file is automatically generated from /etc/audit/rules.d

사용자 정의 규칙을 배치해야 합니다 /etc/audit/rules.d/. 예를 들면 다음과 같습니다.

/etc/audit/rules.d/acmecorp.rules:

-a user,never -F uid=zabbix -F exe=/usr/bin/sudo

/etc/audit/audit.rules이 유틸리티를 사용하여 다음을 재생성 할 수 있습니다 augenrules.

$ augenrules --check
/sbin/augenrules: Rules have changed and should be updated

$ augenrules --load
No rules
enabled 1
failure 1
pid 1114646
[..]

이제 이러한 규칙이 나타나며 /etc/audit/audit.rules활성화되어야 합니다. 당신은 확인할 수 있습니다 auditctl -l:

$ auditctl -l
-a never,user -F uid=114 -F exe=/usr/bin/sudo

Answer 1

/etc/audit/audit.rules파일 상단에 표시된 대로 직접 편집 하지 마세요 . 내용이 생성됩니다.

## This file is automatically generated from /etc/audit/rules.d

사용자 정의 규칙을 배치해야 합니다 /etc/audit/rules.d/. 예를 들면 다음과 같습니다.

/etc/audit/rules.d/acmecorp.rules:

-a user,never -F uid=zabbix -F exe=/usr/bin/sudo

/etc/audit/audit.rules이 유틸리티를 사용하여 다음을 재생성 할 수 있습니다 augenrules.

$ augenrules --check
/sbin/augenrules: Rules have changed and should be updated

$ augenrules --load
No rules
enabled 1
failure 1
pid 1114646
[..]

이제 이러한 규칙이 나타나며 /etc/audit/audit.rules활성화되어야 합니다. 당신은 확인할 수 있습니다 auditctl -l:

$ auditctl -l
-a never,user -F uid=114 -F exe=/usr/bin/sudo

관련 정보