Problém
Do konfiguračního souboru /etc/audit/rules.d/audit.rules jsme přidali nová pravidla auditu, jak je uvedeno níže:
# vi /etc/audit/rules.d/audit.rules -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change -a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale
Tyto konfigurace se však neodrážejí.
# auditctl -l No rulesPoznámka :Na CentOS/RHEL 6 je konfigurační soubor /etc/audit/audit.rules místo /etc/audit/rules.d/audit.rules.
Řešení
1. První věc, kterou zde zkontrolujte, je syntaxe pravidla a opravte ji, pokud je nesprávná. Pravidlo, které jste nakonfigurovali v konfiguračním souboru, můžete například spustit ručně. Při spuštění příkazu byste měli na příkazovém řádku vidět chybu syntaxe. Například:
# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change Syscall name unknown: stime The audit system is in immutable mode, no rule changes allowed
2. Opravte argument pravidla „-S time“ a restartujte systém. Pro deaktivaci auditovaného neměnného režimu je vyžadován restart.
3. Po restartu se všechna pravidla auditu projeví.
# auditctl -l -a always,exit -F arch=x86_64 -S adjtimex,settimeofday,time,clock_settime -F key=time-change -a always,exit -F arch=x86_64 -S sethostname,setdomainname -F key=system-locale
Pokud v konfiguračním souboru /etc/audit/rules.d/audit.rules nastavíte nesprávnou syntaxi, auditd zastaví registraci pravidla. Takže všechna pravidla po nesprávném řádku syntaxe se neprojeví.