Otázka :Jak nakonfigurovat auditd pro změnu výchozích oprávnění na /var/log/audit/audit.log z 0600 na 0640 a také změnu skupinového vlastnictví souboru?
Ve výchozím nastavení není možné změnit oprávnění u souboru /var/log/audit/audit.log pomocí seznamů ACL, místo toho „skupina_logů ” parametr lze nastavit v souboru /etc/audit/audit.conf .
Postup
V tomto příkladu bychom chtěli změnit výchozí oprávnění pro /var/audit/audit.log z 600 na 640 a také změna skupiny od kořenového aby se rozplácly .
1. Zkontrolujte aktuální oprávnění v souboru /var/audit/audit.log, většinou je to root:root s 0600
# ls -l /var/log/audit/audit.log -rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log
2. Upravte /etc/audit/auditd.conf soubor a změňte skupinu protokolu aby se rozplácly .
Před změnou:
# cat /etc/audit/auditd.conf | grep log_group log_group = root
Po změně:
# cat /etc/audit/auditd.conf | grep log_group log_group = splunk
3. Restartujte službu auditu a zkontrolujte.
# service audit restart
4. Zkontrolujte oprávnění na /var/log/audit/audit.log.
# ls -l /var/log/audit/audit.log -rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.logPoznámka :V tomto příkladu splunk user a group braní pro ukázku, ve vašem nastavení může být jiný uživatel a název skupiny. Pochopení auditování systému pomocí auditd