Frage :Wie konfiguriert man auditd, um die Standardberechtigungen für /var/log/audit/audit.log von 0600 auf 0640 zu ändern und auch den Gruppenbesitz der Datei zu ändern?
Standardmäßig ist es nicht möglich, Berechtigungen für die Datei /var/log/audit/audit.log mithilfe von ACLs zu ändern, stattdessen „log_group ”-Parameter kann unter der Datei /etc/audit/audit.conf gesetzt werden .
Die Stufen
In diesem Beispiel möchten wir die Standardberechtigungen für /var/audit/audit.log von 600 ändern bis 640 und auch das Ändern der Gruppe von root zu splunken .
1. Überprüfen Sie die aktuellen Berechtigungen für die Datei /var/audit/audit.log, meistens ist es root:root mit 0600
# ls -l /var/log/audit/audit.log -rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log
2. Bearbeiten Sie /etc/audit/auditd.conf Datei und ändern Sie log_group zu splunken .
Vor der Änderung:
# cat /etc/audit/auditd.conf | grep log_group log_group = root
Nach Änderung:
# cat /etc/audit/auditd.conf | grep log_group log_group = splunk
3. Prüfdienst neu starten und prüfen.
# service audit restart
4. Überprüfen Sie die Berechtigungen für /var/log/audit/audit.log.
# ls -l /var/log/audit/audit.log -rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.logHinweis :In diesem Beispiel wurden Splunk-Benutzer und -Gruppen für die Demo verwendet, möglicherweise gibt es in Ihrem Setup einen anderen Benutzer- und Gruppennamen. Verstehen der Systemüberwachung mit auditd