Red Hat Training
A Red Hat training course is available for RHEL 8
12.10. 禁用 augenrules
使用以下步骤来禁用 augenrules 工具。这会将审计切换为使用 /etc/audit/audit.rules 文件中定义的规则。
流程
将
/usr/lib/systemd/system/auditd.service文件复制到/etc/systemd/system/目录中:# cp -f /usr/lib/systemd/system/auditd.service /etc/systemd/system/在您选择的文本编辑器中编辑
/etc/systemd/system/auditd.service文件,例如:# vi /etc/systemd/system/auditd.service注释掉包含
augenrules的行,将包含auditctl -R命令的行取消注释:#ExecStartPost=-/sbin/augenrules --load ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
重新载入
systemd守护进程以获取auditd.service文件中的修改:# systemctl daemon-reload重启
auditd服务:# service auditd restart
其它资源
-
augenrules(8)和audit.rules(8)手册页。 - auditd 服务重启将覆盖对 /etc/audit/audit.rules 所做的修改。
