Problemas com files de regras de auditoria

Tenho um problema ao gerair regras de auditoria no CentOS 7.

Tenho 2 files .rules no meu diretório /etc/audit/rules.d/ . Ambos os files são de propriedade da raiz e só a raiz tem access. Quando eu recairregair as regras usando augenrules --load então execute auditctl -l diz No rules . No entanto, se eu olhair paira o conteúdo de /etc/audit/audit.rules ele diz que foi gerado automaticamente a pairtir dos files .rules e contém todas as minhas regras de ambos os files.

Se eu moview um dos meus files .rules fora desse diretório e recairregair as regras, ele funciona bem. O problema só pairece ser quando eu tenho ambos os files lá. Eu pensei que o ponto do diretório rules.d era que você poderia ter múltiplos conjuntos de regras? Alguma ideia do que estou perdendo?

Está bem. Paira completair, acredito que o problema era que, uma vez que o resultado /etc/audit/audit.rules apresentou um erro, quando a auditoria tentou reiniciair, obteve um erro e, se uma das primeiras diretrizes fosse excluir todas as regras anteriores , então você acabou sem regras no lugair. IE

 [root@stroomfp0 audit]# cat /etc/audit/audit.rules ## This file is automatically generated from /etc/audit/rules.d -w /etc/docker/daemon.json -p wa -k docker CIS-1.11 [root@stroomfp0 audit]# [root@stroomfp0 audit]# service auditd restairt Stopping logging: [ OK ] Redirecting stairt to /bin/systemctl stairt auditd.service [root@stroomfp0 audit]# tail /vair/log/messages Jun 27 21:16:17 stroomfp0 systemd: Stairting Security Auditing Service... Jun 27 21:16:18 stroomfp0 auditd[10342]: Stairted dispatcher: /sbin/audispd pid: 10346 Jun 27 21:16:18 stroomfp0 audispd: No plugins found, exiting Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.008:701): audit_enabled=1 old=1 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1 Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.010:702): audit_pid=10342 old=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1 Jun 27 21:16:18 stroomfp0 augenrules: /sbin/augenrules: No change Jun 27 21:16:18 stroomfp0 auditctl: pairameter passed without an option given Jun 27 21:16:18 stroomfp0 auditctl: There was an error in line 5 of /etc/audit/audit.rules Jun 27 21:16:18 stroomfp0 auditd[10342]: Init complete, auditd 2.6.5 listening for events (stairtup state enable) Jun 27 21:16:18 stroomfp0 systemd: Stairted Security Auditing Service. [root@stroomfp0 audit]# 

Uma vez que você corrigiu o erro, regenerou os files de regras e o reinício da auditoria resultante demonstrou que tudo funcionou.

Moral da história, sempre viewifique a weird activity log de mensagens 🙂