Переписаны правила аудита в среде PCI DSS
Я настраиваю среду PCI DSS и сталкиваюсь со следующей проблемой. При установке де ОС (CentOS 7.3 Minimal) я выбрал профиль "PCI DSS".
Когда я проверял правила, применяемые на /etc/audit/audit.rules, было огромное количество правил, и мне было просто интересно сохранить 2 или 3 из них.
Поэтому я изменил файл, содержащий правила, и перезагрузил их. До этого момента проблем нет.
Я сталкиваюсь с тем, что каждый раз, когда я перезапускаю auditd.service, мои пользовательские правила перезаписываются теми, которые навязаны профилем PCI DSS.
Я попробую также создать файл с моими пользовательскими правилами, скажем /etc/audit/audit-custom.rules, Я могу импортировать правила с помощью команды auditctl -R /etc/audit/audit-custom.rules и в тот момент, если я выполню auditctl -l У меня есть только правила, определенные в моем файле custom.rules.
Проблема в том, что, когда я перезапускаю службу Audit, она принимает каждый раз, когда правила, определенные в /etc/audit/audit.rules, Даже если я удалю все правила и поместу свои пользовательские правила в файл конфигурации правил по умолчанию, после перезапуска службы, audd перезаписывает мои пользовательские правила
Кто-нибудь имеет какое-либо представление о том, как предотвратить такое поведение?
Заранее спасибо за помощь
1 ответ
Итак, наконец, после небольшого исследования в эти выходные, я нашел ответ.
Если вы хотите отказаться от того, что audit перезаписывает ваши пользовательские правила с учетом ограничений, наложенных профилем безопасности, это процедура
Редактировать следующий файл
/etc/systemd/system/multi-user.target.wants/auditd.serviceи прокомментируйте следующую строку# ExecStartPost=-/sbin/augenrules --loadЗатем вы должны перезагрузить демон systemctl:
systemctl daemon-reloadТеперь вы сможете импортировать свои правила с помощью:
auditctl -R /etc/audit/audit-custom.rulesТеперь вы можете перезагрузить
auditdили перезагрузите сервер, избегая этогоauditdперезаписывает ваши пользовательские правила