ファイルシステムをアンマウントすると監査ルールが削除される
Issue
ファイルシステムをアンマウントすると監査ルールが削除されます。
この例では、以下が適用されます。
マウントポイントは "/share" です。
監査対象ディレクトリーは "/share/test" です。
1. /share をマウントします。
[root@localhost ~]# mount /dev/sdb1 /share
[root@localhost ~]# df
Filesystem 1K-blocks Used Available Use% Mounted on
/dev/mapper/rhel-root 10258432 1581312 8677120 16% /
devtmpfs 495420 0 495420 0% /dev
tmpfs 507512 0 507512 0% /dev/shm
tmpfs 507512 548 506964 1% /run
tmpfs 507512 0 507512 0% /sys/fs/cgroup
/dev/sda1 1038336 135224 903112 14% /boot
tmpfs 101504 0 101504 0% /run/user/0
/dev/sdb1 519844 26384 493460 6% /share
2. auditd サービスを再起動します。
[root@localhost ~]# service auditd restart
Stopping logging: [ OK ]
Redirecting start to /bin/systemctl start auditd.service
3. 作成したルールを確認します。
[root@localhost ~]# auditctl -l
-w /share/test -p r -k file_read
4. /share をアンマウントします。
[root@localhost ~]# umount /share
5. ルールを再度確認します。
[root@localhost ~]# auditctl -l
No rules
以下のように、ルール自体は /etc/audit/audit.rules に残っていますが、ルールは消えてしまいます。
[root@localhost ~]# cat /etc/audit/audit.rules
-w /root/test -p war -k file_monitor
Environment
- Red Hat Enterprise Linux 7
- audit
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.
