Red Hat Training

A Red Hat training course is available for RHEL 8

12.9. 使用 augenrules 定义持久性规则

augenrules脚本读取位于/etc/audit/rules.d/目录下的规则,并将它们编译成audit.rures文件。这个脚本会根据自然的排序顺序按特定顺序处理以 .rules 结尾的所有文件。这个目录中的文件被组织到组中,其含义如下:

  • 10 - 内核和 auditctl 配置
  • 20 - 可与常规规则匹配但您希望不同匹配的规则
  • 30 - 主要规则
  • 40 - 可选规则
  • 50 - 服务器特定规则
  • 70 - 系统本地规则
  • 90 - 结束(不可变)

规则并非是一次性全部使用。它们是策略的一部分,应仔细考虑,并将单个文件复制到 /etc/audit/rules.d/。例如,要在 STIG 配置中设置系统,复制规则 10-base-config、30- stig31-privileged99-finalize

/etc/audit/rules.d/ 目录中有规则后,使用 --load 指令运行 augenrules 脚本来加载它们:

# augenrules --load
/sbin/augenrules: No change
No rules
enabled 1
failure 1
pid 742
rate_limit 0
...

其它资源

  • audit.rules(8)和 augenrules(8)man page。