Das Problem
Wir haben der Konfigurationsdatei /etc/audit/rules.d/audit.rules wie unten gezeigt neue Audit-Regeln hinzugefügt:
# vi /etc/audit/rules.d/audit.rules -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change -a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale
Diese Konfigurationen werden jedoch nicht wiedergegeben.
# auditctl -l No rulesHinweis :Unter CentOS/RHEL 6 ist die Konfigurationsdatei /etc/audit/audit.rules statt /etc/audit/rules.d/audit.rules.
Die Lösung
1. Das erste, was Sie hier überprüfen müssen, ist die Syntax der Regel und korrigieren Sie sie, wenn sie falsch ist. Beispielsweise können Sie die Regel, die Sie in der Konfigurationsdatei konfiguriert haben, manuell ausführen. Sie sollten den Syntaxfehler in der Befehlszeile sehen, wenn Sie den Befehl ausführen. Zum Beispiel:
# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change Syscall name unknown: stime The audit system is in immutable mode, no rule changes allowed
2. Korrigieren Sie das Regelargument „-S time“ und starten Sie das System neu. Der Neustart ist erforderlich, um den unveränderlichen auditd-Modus zu deaktivieren.
3. Nach dem Neustart werden alle Audit-Regeln widergespiegelt.
# auditctl -l -a always,exit -F arch=x86_64 -S adjtimex,settimeofday,time,clock_settime -F key=time-change -a always,exit -F arch=x86_64 -S sethostname,setdomainname -F key=system-locale
Wenn Sie die falsche Syntax in der Konfigurationsdatei /etc/audit/rules.d/audit.rules festlegen, stoppt auditd die Regelregistrierung. Daher werden alle Regeln nach einer falschen Syntaxzeile nicht wiedergegeben.