linux audit审计(6)--audit永久生效的规则配置
定义reboot系统后,仍然生效的审计规则,有两种办法:
1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/augenrules --load
以上两种方法都有对应的命令:
1、auditctl -R path-to-rules,如
auditctl -R /etc/audit/rules.d/-pci-dss.rules
2、augenrules --load
使用这个命令可以将/etc/audit/rules.d目录下的规则,按照顺序编辑到audit.rules中。
在/usr/share/doc/audit/rules/路径下,audit包提供了已经配置好的规则文件,用于各种认证,如PCI DSS,STIG等。如下:
linux-xdYUnA:/usr/share/doc/audit-2.7.6/rules # ll
total 96
-rw-r--r-- 1 root root 163 Mar 29 17:19 10-base-config.rules
-rw-r--r-- 1 root root 284 Apr 19 2017 10-no-audit.rules
-rw-r--r-- 1 root root 93 Apr 19 2017 11-loginuid.rules
-rw-r--r-- 1 root root 329 Apr 19 2017 12-cont-fail.rules
-rw-r--r-- 1 root root 323 Apr 19 2017 12-ignore-error.rules
-rw-r--r-- 1 root root 516 Apr 19 2017 20-dont-audit.rules
-rw-r--r-- 1 root root 273 Apr 19 2017 21-no32bit.rules
-rw-r--r-- 1 root root 252 Apr 19 2017 22-ignore-chrony.rules
-rw-r--r-- 1 root root 4915 Apr 19 2017 30-nispom.rules
-rw-r--r-- 1 root root 5952 Apr 19 2017 30-pci-dss-v31.rules
-rw-r--r-- 1 root root 6663 Apr 19 2017 30-stig.rules
-rw-r--r-- 1 root root 1498 Apr 19 2017 31-privileged.rules
-rw-r--r-- 1 root root 218 Apr 19 2017 32-power-abuse.rules
-rw-r--r-- 1 root root 156 Apr 19 2017 40-local.rules
-rw-r--r-- 1 root root 439 Apr 19 2017 41-containers.rules
-rw-r--r-- 1 root root 672 Apr 19 2017 42-injection.rules
-rw-r--r-- 1 root root 424 Apr 19 2017 43-module-load.rules
-rw-r--r-- 1 root root 326 Apr 19 2017 70-einval.rules
-rw-r--r-- 1 root root 151 Apr 19 2017 71-networking.rules
-rw-r--r-- 1 root root 86 Apr 19 2017 99-finalize.rules
-rw-r--r-- 1 root root 1202 Apr 19 2017 README-rules
注意,每个rules有一个数字,这些表示的是加载顺序。如果需要pci-dss认证的规则,可以将10-base-config,30-pci-dss-v31,以及99-finalize拷贝到rules.d目录下。然后再使用augenrules --load命令把这些规则加载进来。
这些规则分类如下:
- Kernel and auditctl configuration
- Rules that could match general rules but you want a different match
- Main rules
- Optional rules
- Server-specific rules
- System local rules
- Finalize (immutable)
使用auditctl -R可以加载多个规则文件,不会覆盖,使用augenrules --load后,之前的规则就没有了。
linux audit审计(6)--audit永久生效的规则配置的更多相关文章
- Linux中让alias设置永久生效的方法详解
Linux中让alias设置永久生效的方法详解 一.问题描述 1.有很多时候我们想要将很多操作作为一个步骤,那么在不作为系统的服务的情况下,别名是我们最好的选择,但是发现别名只能在一次会话中生效,重启 ...
- linux的审计功能(audit)
为了满足这样的需求:记录文件变化.记录用户对文件的读写,甚至记录系统调用,文件变化通知.什么是auditThe Linux Audit Subsystem is a system to Collect ...
- linux audit审计(8)--开启audit对系统性能的影响
我们使用测试性能的工具,unixbench,它有一下几项测试项目: Execl Throughput 每秒钟执行 execl 系统调用的次数 Pipe Throughput 一秒钟内一个进程向一个管道 ...
- linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用
audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心.当audit日志写满后,可以看到如下场景: -r-------- 1 root root 8388609 Mar 3 ...
- ORACLE AUDIT 审计
转自 http://blog.csdn.net/dnnyyq/article/details/4525980 1.什么是审计 审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计 ...
- Oracle Audit 审计功能的认识与使用
1.Audit的概念 Audit是监视和记录用户对数据库进行的操作,以供DBA进行问题分析.利用Audit功能,可以完成以下任务: 监视和收集特定数据库活动的数据.例如管理员能够审计哪些表被更新,在某 ...
- MySQL审计工具Audit Plugin安装使用
本实验的审计插件均是安装在 mysql-community-server-5.7.9 的服务器上. 插件安装(社区版) 插件下载地址: https://bintray.com/mcafee/mysql ...
- 嵌入式 Linux下永久生效环境变量bashrc
嵌入式 Linux下永久生效环境变量bashrc 1) .bashrc文件 在linux系统普通用户目录(cd /home/xxx)或root用户目录(cd /root)下,用指令ls -al可以看到 ...
- 设置ulimit值(Linux文件句柄数量)永久生效
Linux 默认打开文件数linux 默认打开文件数为1024个,通过ulimit -a 可以查看open files修改这个限制可以使用ulimt -SHn 65536永久生效需要进行下面设置:1. ...
随机推荐
- re库
一.Re库的主要功能: 函数 功能 re.search() 在一个字符串中搜索匹配正则表达式的第一个位置,返回match对象 re.match() 在一个字符串的开始位置匹配正则表达式,返回match ...
- 匆忙记录 编译linux kernel zImage
arm的板子. 自己要定制下内核. 下载源码 cp 模板配置 .config make menuconfig 进行定制化 之后make zImage {注意 交叉编译 gcc 也要配置的} 之后 ./ ...
- Mybatis基础核心类说明
1: org.apache.ibatis.mapping.ParameterMapping 为Mybatis参数的抽象表示,包括Java类型与数据库类型以及类型处理器属性名字等等!! 例如: 其中i ...
- docker 11 docker的commit操作
docker commit :表示提交一个容器的副本使之成为新的镜像.假如我们在docker上运行了一个tomcat的容器,对Tomcat容器进行了修改操作,然后我们将修改操作后的tomcat进行co ...
- DataGuard切换(主库为Rac+备库为Rac)
http://blog.itpub.net/29477587/viewspace-1331121/ 前段时间做了一次主备库的切换,大体写下操作步骤和记录,分享下. 环境: db v ...
- Windows下pip命令无法使用的解决办法
今天遇见了一个pip相关的问题 如下 我的python环境变量也有,但是还是无法使用pip 经过一位大佬的点播使用,使用python -m ensurepip这个命令可以检查 在cmd下运行自动完成p ...
- java可重入锁reentrantlock
public class ReentrantDemo { //重入锁 保护临界区资源count,确保多线程对count操作的安全性 /*public static ReentrantLock rtlo ...
- 支持“xxxContext”上下文的模型已在数据库创建后发生更改。请考虑使用 Code First 迁移更新数据库
将项目的数据库连接用户及密码修改后(切换用户,用户名与原来不一样,用户下对象结构一致),报以下错误: 支持“XXXDBContext”上下文的模型已在数据库创建后发生更改.请考虑使用 Code Fir ...
- 第十五次oo作业
作业十五 测试与正确性论证的效果差异 程序的测试需要通过输入特定数据等方式,检查程序是否和预期相同,因为测试不可能穷举,导致了不穷举的测试不可能验证程序是完全正确的,只能验证程序在测试时没有发生错误, ...
- 无线网络中信噪比(SNR)计算
信噪比(S/N)=log[信号功率密度/噪声功率密度] a =log[信号功率密度]-log[噪声功率密度] 例如,接收端的信号功率密度为-63dBm,噪声的信号功率密度为-95dBm,则: 信噪比( ...