Problemas com arquivos de regras auditd

1

Eu tenho um problema ao gerar regras de auditoria no CentOS 7.

Eu tenho 2% de arquivos.rules no meu diretório /etc/audit/rules.d/ . Ambos os arquivos são de propriedade do root e somente o root tem acesso. Quando eu recarregar as regras usando augenrules --load , execute auditctl -l e diga No rules . No entanto, se eu olhar para o conteúdo de /etc/audit/audit.rules , ele diz que foi gerado automaticamente a partir dos arquivos .rules e contém todas as minhas regras de ambos os arquivos.

Se eu mover um dos meus .rules arquivos desse diretório e recarregar as regras, tudo funcionará bem. O problema parece ser apenas quando eu tenho os dois arquivos lá. Eu pensei que o ponto do diretório rules.d era que você poderia ter vários conjuntos de regras? Alguma idéia do que estou perdendo?

    
por fitzplb 15.06.2017 / 18:14

1 resposta

0

Ok. Para completar, acredito que o problema era que, como o /etc/audit/audit.rules resultante tinha um erro, quando o auditd tentava reiniciar, ele recebia um erro, e se uma das primeiras diretivas era excluir todas as regras anteriores , então você acabou sem regras. IE

[root@stroomfp0 audit]# cat /etc/audit/audit.rules
## This file is automatically generated from /etc/audit/rules.d
-w /etc/docker/daemon.json -p wa -k docker CIS-1.11

[root@stroomfp0 audit]# 
[root@stroomfp0 audit]# service auditd restart
Stopping logging:                                          [  OK  ]
Redirecting start to /bin/systemctl start auditd.service
[root@stroomfp0 audit]# tail /var/log/messages
Jun 27 21:16:17 stroomfp0 systemd: Starting Security Auditing Service...
Jun 27 21:16:18 stroomfp0 auditd[10342]: Started dispatcher: /sbin/audispd pid: 10346
Jun 27 21:16:18 stroomfp0 audispd: No plugins found, exiting
Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.008:701): 
audit_enabled=1 old=1 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
Jun 27 21:16:18 stroomfp0 kernel: type=1305 audit(1498562178.010:702): audit_pid=10342 old=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=1
Jun 27 21:16:18 stroomfp0 augenrules: /sbin/augenrules: No change
Jun 27 21:16:18 stroomfp0 auditctl: parameter passed without an option given
Jun 27 21:16:18 stroomfp0 auditctl: There was an error in line 5 of /etc/audit/audit.rules
Jun 27 21:16:18 stroomfp0 auditd[10342]: Init complete, auditd 2.6.5 listening for events (startup state enable)
Jun 27 21:16:18 stroomfp0 systemd: Started Security Auditing Service.
[root@stroomfp0 audit]# 

Depois de corrigir o erro, os arquivos de regras foram regenerados e a reinicialização auditd resultante demonstrou que tudo funcionou.

Moral da história, sempre verifique o log de mensagens em weird activity : -)

    
por 27.06.2017 / 13:22