OK, finalmente, depois de uma pequena pesquisa neste fim de semana, encontrei a resposta.
Se você quiser evitar que a auditoria substitua suas regras personalizadas pelas restrições impostas pelo perfil de segurança, esse é o procedimento
-
Edite o próximo arquivo
/etc/systemd/system/multi-user.target.wants/auditd.service
e comente a seguinte linha# ExecStartPost=-/sbin/augenrules --load
-
Em seguida, você precisa recarregar o daemon systemctl:
systemctl daemon-reload
-
Agora você poderá importar suas regras com:
auditctl -R /etc/audit/audit-custom.rules
-
Agora você pode reiniciar
auditd
service ou reiniciar seu servidor, evitando queauditd
substitua suas regras personalizadas