systemctl restartauditd를 통해 감사 규칙을 로드할 수 없습니다.

tag-icon tag-icon audit
systemctl restartauditd를 통해 감사 규칙을 로드할 수 없습니다.

나는 ipv4 전달을 활성화하는 /proc/sys/net/ipv4/ip_forward 파일에 무엇이 있는지 확인하려고 했습니다. (그것이 docker라는 것을 알았지만 여전히 내 auditd 문제를 이해하고 싶었습니다.) 그래서 감사 규칙을 만들기로 결정했습니다. :

-w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward

문제는 규칙을 수동으로 발행할 때만 규칙이 로드된다는 것입니다.

augenrules --load

간단한 조치로 systemctl restart auditd이 규칙을 지울 수 있습니다. 이는 부팅하는 동안 이 내용이 지워진다는 의미입니다.

내 /etc/audit/rules.d/audit.rules 파일의 내용(디렉토리의 규칙 파일만):

-D

-b 8192

--backlog_wait_time 60000

-f 1

-w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward
-w /etc/fstab -p rwa -k fstab

auditd 다시 시작의 예:

$ sudo systemctl restart auditd
$ sudo auditctl -l
-w /etc/fstab -p rwa -k fstab #<- Only this rule loads

Augenrules 실행의 예:

$ sudo augenrules --load
/usr/sbin/augenrules: No change
No rules
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0
enabled 1
failure 1
pid 3116
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
backlog_wait_time 60000
backlog_wait_time_actual 0

$ sudo auditctl -l
-w /proc/sys/net/ipv4/ip_forward -p wa -k ip4forward
-w /etc/fstab -p rwa -k fstab

$ sudo systemctl status auditd
● auditd.service - Security Auditing Service
     Loaded: loaded (/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
     Active: active (running) since Mon 2023-12-11 16:42:29 EST; 6min ago
       Docs: man:auditd(8)
             https://github.com/linux-audit/audit-documentation
    Process: 3114 ExecStart=/sbin/auditd (code=exited, status=0/SUCCESS)
    Process: 3119 ExecStartPost=/sbin/augenrules --load (code=exited, status=0/SUCCESS)
   Main PID: 3116 (auditd)
      Tasks: 2 (limit: 9346)
     Memory: 548.0K
        CPU: 125ms
     CGroup: /system.slice/auditd.service
             └─3116 /sbin/auditd

Dec 11 16:42:29 ubuntu augenrules[3130]: enabled 1
Dec 11 16:42:29 ubuntu augenrules[3130]: failure 1
Dec 11 16:42:29 ubuntu augenrules[3130]: pid 3116
Dec 11 16:42:29 ubuntu augenrules[3130]: rate_limit 0
Dec 11 16:42:29 ubuntu augenrules[3130]: backlog_limit 8192
Dec 11 16:42:29 ubuntu augenrules[3130]: lost 0
Dec 11 16:42:29 ubuntu augenrules[3130]: backlog 0
Dec 11 16:42:29 ubuntu augenrules[3130]: backlog_wait_time 60000
Dec 11 16:42:29 ubuntu augenrules[3130]: backlog_wait_time_actual 0
Dec 11 16:42:29 ubuntu systemd[1]: Started Security Auditing Service.

auditd 버전 1:3.0.7-1build1로 Ubuntu 22.04 실행 아이디어가 있으신가요? 감사해요!

답변1

도움이 된다면 모든 augenrules --load규칙을 ./etc/audit/rules.d/*.rules/etc/audit/audit.rules

관련 정보