定义reboot系统后,仍然生效的审计规则,有两种办法:

1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules

2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/augenrules --load

以上两种方法都有对应的命令:

1、auditctl -R path-to-rules,如

auditctl -R /etc/audit/rules.d/-pci-dss.rules

2、augenrules --load

使用这个命令可以将/etc/audit/rules.d目录下的规则,按照顺序编辑到audit.rules中。

在/usr/share/doc/audit/rules/路径下,audit包提供了已经配置好的规则文件,用于各种认证,如PCI DSS,STIG等。如下:

linux-xdYUnA:/usr/share/doc/audit-2.7.6/rules # ll

total 96

-rw-r--r-- 1 root root  163 Mar 29 17:19 10-base-config.rules

-rw-r--r-- 1 root root  284 Apr 19  2017 10-no-audit.rules

-rw-r--r-- 1 root root   93 Apr 19  2017 11-loginuid.rules

-rw-r--r-- 1 root root  329 Apr 19  2017 12-cont-fail.rules

-rw-r--r-- 1 root root  323 Apr 19  2017 12-ignore-error.rules

-rw-r--r-- 1 root root  516 Apr 19  2017 20-dont-audit.rules

-rw-r--r-- 1 root root  273 Apr 19  2017 21-no32bit.rules

-rw-r--r-- 1 root root  252 Apr 19  2017 22-ignore-chrony.rules

-rw-r--r-- 1 root root 4915 Apr 19  2017 30-nispom.rules

-rw-r--r-- 1 root root 5952 Apr 19  2017 30-pci-dss-v31.rules

-rw-r--r-- 1 root root 6663 Apr 19  2017 30-stig.rules

-rw-r--r-- 1 root root 1498 Apr 19  2017 31-privileged.rules

-rw-r--r-- 1 root root  218 Apr 19  2017 32-power-abuse.rules

-rw-r--r-- 1 root root  156 Apr 19  2017 40-local.rules

-rw-r--r-- 1 root root  439 Apr 19  2017 41-containers.rules

-rw-r--r-- 1 root root  672 Apr 19  2017 42-injection.rules

-rw-r--r-- 1 root root  424 Apr 19  2017 43-module-load.rules

-rw-r--r-- 1 root root  326 Apr 19  2017 70-einval.rules

-rw-r--r-- 1 root root  151 Apr 19  2017 71-networking.rules

-rw-r--r-- 1 root root   86 Apr 19  2017 99-finalize.rules

-rw-r--r-- 1 root root 1202 Apr 19  2017 README-rules

注意,每个rules有一个数字,这些表示的是加载顺序。如果需要pci-dss认证的规则,可以将10-base-config,30-pci-dss-v31,以及99-finalize拷贝到rules.d目录下。然后再使用augenrules --load命令把这些规则加载进来。

这些规则分类如下:

 - Kernel and auditctl configuration

 - Rules that could match general rules but you want a different match

 - Main rules

 - Optional rules

 - Server-specific rules

 - System local rules

 - Finalize (immutable)

使用auditctl -R可以加载多个规则文件,不会覆盖,使用augenrules --load后,之前的规则就没有了。

linux audit审计(6)--audit永久生效的规则配置的更多相关文章

  1. Linux中让alias设置永久生效的方法详解

    Linux中让alias设置永久生效的方法详解 一.问题描述 1.有很多时候我们想要将很多操作作为一个步骤,那么在不作为系统的服务的情况下,别名是我们最好的选择,但是发现别名只能在一次会话中生效,重启 ...

  2. linux的审计功能(audit)

    为了满足这样的需求:记录文件变化.记录用户对文件的读写,甚至记录系统调用,文件变化通知.什么是auditThe Linux Audit Subsystem is a system to Collect ...

  3. linux audit审计(8)--开启audit对系统性能的影响

    我们使用测试性能的工具,unixbench,它有一下几项测试项目: Execl Throughput 每秒钟执行 execl 系统调用的次数 Pipe Throughput 一秒钟内一个进程向一个管道 ...

  4. linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用

    audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心.当audit日志写满后,可以看到如下场景: -r-------- 1 root root 8388609 Mar 3 ...

  5. ORACLE AUDIT 审计

    转自 http://blog.csdn.net/dnnyyq/article/details/4525980 1.什么是审计 审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计 ...

  6. Oracle Audit 审计功能的认识与使用

    1.Audit的概念 Audit是监视和记录用户对数据库进行的操作,以供DBA进行问题分析.利用Audit功能,可以完成以下任务: 监视和收集特定数据库活动的数据.例如管理员能够审计哪些表被更新,在某 ...

  7. MySQL审计工具Audit Plugin安装使用

    本实验的审计插件均是安装在 mysql-community-server-5.7.9 的服务器上. 插件安装(社区版) 插件下载地址: https://bintray.com/mcafee/mysql ...

  8. 嵌入式 Linux下永久生效环境变量bashrc

    嵌入式 Linux下永久生效环境变量bashrc 1) .bashrc文件 在linux系统普通用户目录(cd /home/xxx)或root用户目录(cd /root)下,用指令ls -al可以看到 ...

  9. 设置ulimit值(Linux文件句柄数量)永久生效

    Linux 默认打开文件数linux 默认打开文件数为1024个,通过ulimit -a 可以查看open files修改这个限制可以使用ulimt -SHn 65536永久生效需要进行下面设置:1. ...

随机推荐

  1. Oracle hint之ORDERED和USE_NL

    Hint:ORDERED和USE_NL ORDERED好理解,就是表示根据 from 后面表的顺序join,从左到右,左边的表做驱动表 use_nl(t1,t2):表示对表t1.t2关联时采用嵌套循环 ...

  2. 【转】iOS-浅谈revoke证书对App的影响

    参考资料:证书-来自苹果官方的介绍 revoke证书对生产.测试环境的影响(1)revoke生产环境证书是不会影响已上架的app. (2)revoke开发环境证书,则安装过该证书的app的用户将无法打 ...

  3. Python:Day17 生成器、time和random模块

    列表生成式: a = [x*2 for x in range(10)] #这是最简单的列表生成式,range换成其它的序列也OK a = [f(x) for x in range(10)] #将里将前 ...

  4. @ConfigurationProperties 配置详解

    文章转自 https://blog.csdn.net/qq_26000415/article/details/78942494 前言新的一年到了,在这里先祝大家新年快乐.我们在上一篇spring bo ...

  5. Pull is not possible because you have unmerged files

    Pull is not possible because you have unmerged files.   在git pull的过程中,如果有冲突,那么除了冲突的文件之外,其它的文件都会做为sta ...

  6. AT1219 歴史の研究

    附带权值的类区间众数问题?不是很好策啊 发现题目没有强制在线,而且也只有询问操作,那么可以考虑莫队 但是这里的莫队有一个很显著的特征,插入的时候很好维护答案,但是删除的时候不好回退 那么有没有什么办法 ...

  7. 深入理解[Master-Worker模式]原理与技术

    Master-Worker模式是常用的并行模式之一.它的核心思想是,系统由两类进程协作工作:Master进程和Worker进程.Master进程负责接收和分配任务,Worker进程负责处理子任务.当各 ...

  8. SpringBoot如何使用拦截器

    1.配置拦截器 @Configuration public class WebMvcConfigurer extends WebMvcConfigurerAdapter { @Override pub ...

  9. Mac无法清倒废纸篓,终极解决方案

    打开终端 输入 sudo -s rm -rf 你的文件路径 回车即可成功删除

  10. MySQL之索引原理

    --------------------------------------------------------------------------------堕落的状态,无疑是慢性自杀.想想自己为什 ...