Red Hat Training

A Red Hat training course is available for RHEL 8

12.10. 禁用 augenrules

使用以下步骤禁用 augenrules 工具程序。这会将 Audit 切换为使用 /etc/audit/audit.rules 文件中定义的规则。

流程

  1. /usr/lib/systemd/system/auditd.service 文件复制到 /etc/systemd/system/ 目录中:

    # cp -f /usr/lib/systemd/system/auditd.service /etc/systemd/system/
  2. 在您选择的文本编辑器中编辑 /etc/systemd/system/auditd.service 文件,例如:

    # vi /etc/systemd/system/auditd.service
  3. 注释掉包含 augenrules 的行,取消注释包含 auditctl -R 命令的 行:

    #ExecStartPost=-/sbin/augenrules --load
    ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
  4. 重新载入 systemd 守护进程以获取 auditd.service 文件中的更改:

    # systemctl daemon-reload
  5. 重启 auditd 服务:

    # service auditd restart

其它资源