定义reboot系统后,仍然生效的审计规则,有两种办法:

1、直接写入/etc/audit/audit.rules文件中,在service文件中需要加入ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules

2、将规则文件放入到/etc/audit/rules.d/目录下,在service文件中加入ExecStartPost=-/sbin/augenrules --load

以上两种方法都有对应的命令:

1、auditctl -R path-to-rules,如

  1. auditctl -R /etc/audit/rules.d/-pci-dss.rules

2、augenrules --load

使用这个命令可以将/etc/audit/rules.d目录下的规则,按照顺序编辑到audit.rules中。

在/usr/share/doc/audit/rules/路径下,audit包提供了已经配置好的规则文件,用于各种认证,如PCI DSS,STIG等。如下:

  1. linux-xdYUnA:/usr/share/doc/audit-2.7.6/rules # ll
  2. total 96
  3. -rw-r--r-- 1 root root 163 Mar 29 17:19 10-base-config.rules
  4. -rw-r--r-- 1 root root 284 Apr 19 2017 10-no-audit.rules
  5. -rw-r--r-- 1 root root 93 Apr 19 2017 11-loginuid.rules
  6. -rw-r--r-- 1 root root 329 Apr 19 2017 12-cont-fail.rules
  7. -rw-r--r-- 1 root root 323 Apr 19 2017 12-ignore-error.rules
  8. -rw-r--r-- 1 root root 516 Apr 19 2017 20-dont-audit.rules
  9. -rw-r--r-- 1 root root 273 Apr 19 2017 21-no32bit.rules
  10. -rw-r--r-- 1 root root 252 Apr 19 2017 22-ignore-chrony.rules
  11. -rw-r--r-- 1 root root 4915 Apr 19 2017 30-nispom.rules
  12. -rw-r--r-- 1 root root 5952 Apr 19 2017 30-pci-dss-v31.rules
  13. -rw-r--r-- 1 root root 6663 Apr 19 2017 30-stig.rules
  14. -rw-r--r-- 1 root root 1498 Apr 19 2017 31-privileged.rules
  15. -rw-r--r-- 1 root root 218 Apr 19 2017 32-power-abuse.rules
  16. -rw-r--r-- 1 root root 156 Apr 19 2017 40-local.rules
  17. -rw-r--r-- 1 root root 439 Apr 19 2017 41-containers.rules
  18. -rw-r--r-- 1 root root 672 Apr 19 2017 42-injection.rules
  19. -rw-r--r-- 1 root root 424 Apr 19 2017 43-module-load.rules
  20. -rw-r--r-- 1 root root 326 Apr 19 2017 70-einval.rules
  21. -rw-r--r-- 1 root root 151 Apr 19 2017 71-networking.rules
  22. -rw-r--r-- 1 root root 86 Apr 19 2017 99-finalize.rules
  23. -rw-r--r-- 1 root root 1202 Apr 19 2017 README-rules

注意,每个rules有一个数字,这些表示的是加载顺序。如果需要pci-dss认证的规则,可以将10-base-config,30-pci-dss-v31,以及99-finalize拷贝到rules.d目录下。然后再使用augenrules --load命令把这些规则加载进来。

这些规则分类如下:

  1. - Kernel and auditctl configuration
  2. - Rules that could match general rules but you want a different match
  3. - Main rules
  4. - Optional rules
  5. - Server-specific rules
  6. - System local rules
  7. - Finalize (immutable)

使用auditctl -R可以加载多个规则文件,不会覆盖,使用augenrules --load后,之前的规则就没有了。

linux audit审计(6)--audit永久生效的规则配置的更多相关文章

  1. Linux中让alias设置永久生效的方法详解

    Linux中让alias设置永久生效的方法详解 一.问题描述 1.有很多时候我们想要将很多操作作为一个步骤,那么在不作为系统的服务的情况下,别名是我们最好的选择,但是发现别名只能在一次会话中生效,重启 ...

  2. linux的审计功能(audit)

    为了满足这样的需求:记录文件变化.记录用户对文件的读写,甚至记录系统调用,文件变化通知.什么是auditThe Linux Audit Subsystem is a system to Collect ...

  3. linux audit审计(8)--开启audit对系统性能的影响

    我们使用测试性能的工具,unixbench,它有一下几项测试项目: Execl Throughput 每秒钟执行 execl 系统调用的次数 Pipe Throughput 一秒钟内一个进程向一个管道 ...

  4. linux audit审计(4)--audit的日志切分,以及与rsyslog的切分协同使用

    audit的规则配置稍微不当,就会短时间内产生大量日志,所以这个规则配置一定要当心.当audit日志写满后,可以看到如下场景: -r-------- 1 root root 8388609 Mar 3 ...

  5. ORACLE AUDIT 审计

    转自 http://blog.csdn.net/dnnyyq/article/details/4525980 1.什么是审计 审计(Audit)用于监视用户所执行的数据库操作,并且Oracle会将审计 ...

  6. Oracle Audit 审计功能的认识与使用

    1.Audit的概念 Audit是监视和记录用户对数据库进行的操作,以供DBA进行问题分析.利用Audit功能,可以完成以下任务: 监视和收集特定数据库活动的数据.例如管理员能够审计哪些表被更新,在某 ...

  7. MySQL审计工具Audit Plugin安装使用

    本实验的审计插件均是安装在 mysql-community-server-5.7.9 的服务器上. 插件安装(社区版) 插件下载地址: https://bintray.com/mcafee/mysql ...

  8. 嵌入式 Linux下永久生效环境变量bashrc

    嵌入式 Linux下永久生效环境变量bashrc 1) .bashrc文件 在linux系统普通用户目录(cd /home/xxx)或root用户目录(cd /root)下,用指令ls -al可以看到 ...

  9. 设置ulimit值(Linux文件句柄数量)永久生效

    Linux 默认打开文件数linux 默认打开文件数为1024个,通过ulimit -a 可以查看open files修改这个限制可以使用ulimt -SHn 65536永久生效需要进行下面设置:1. ...

随机推荐

  1. How to get Docker

    Docker 通俗的理解就是像VM一样的虚拟技术,但是不完全相同. Docker可以打包为镜像文件,在镜像中运行容器. 镜像和容器可以理解成类和对象的关系. 拿VM虚拟机和docker来举例,一个容器 ...

  2. linux命令之vmstat

    vmstat 参数 功能:报告虚拟内存.swap.io.上下文和 CPU 统计信息. 分析了这些文件: /proc/meminfo /proc/stat /proc/*/stat 常用选项: -a 打 ...

  3. Node.js读取某个目录下的所有文件夹名字并将其写入到json文件

    针对解决的问题是,有些时候我们需要读取某个文件并将其写入到对应的json文件(xml文件也行,不过目前用json很多,json是主流). 源码如下:index.js var fs = require( ...

  4. NameValueCollection类读取配置信息

    C#中的NameValueCollection类读取配置信息,大家可以参考下.   我首先介绍配置文件中的写法: 1.在VS2015中的工程下建立一个控制台应用程序,其config文件默认名称为App ...

  5. oracle 创建表空间TABLESPACE

    题外话: 在oracle中,我们的数据库用户都有一个默认表空间归属,当在该用户下创建表或其他对象时默认会将其归属在默认表空间: 不排除后期修改了用户默认表空间的情况存在,此后新加入的对象默认会放置在新 ...

  6. mybatis抽取出的工具-(一)通用标记解析器(即拿即用)

    目录 1. 简介 1.1 mybatis-config.xml 中使用 1.2 xxxMapper.xml 中使用 2. 原理 2.1 GenericTokenParser 成员变量 2.2 Gene ...

  7. 一起学习造轮子(二):从零开始写一个Redux

    本文是一起学习造轮子系列的第二篇,本篇我们将从零开始写一个小巧完整的Redux,本系列文章将会选取一些前端比较经典的轮子进行源码分析,并且从零开始逐步实现,本系列将会学习Promises/A+,Red ...

  8. .net core 2.1 开源项目 COMCMS dnc版本

    项目一直从dotnet core 1.1开始,升级到2.0,乃至如今2.1,以后保持继续更新. 但可能只是一个后台,前台的话,到时候看有没有好的模板. ------------无聊的分割线------ ...

  9. Redis系列文章总结:ASP.Net Core 中如何借助CSRedis实现一个安全高效的分布式锁

    引言:最近回头看了看开发的.Net Core 2.1项目的复盘总结,其中在多处用到Redis实现的分布式锁,虽然在OnResultExecuting方法中做了防止死锁的处理,但在某些场景下还是会发生死 ...

  10. elasticsearch(6.2.3)安装Head插件

    一.安装elasticsearch,参照:https://www.cnblogs.com/dyh004/p/8872443.html 二.安装nodejs,参照:https://www.runoob. ...