การกำหนดค่ากฎการตรวจสอบไม่สะท้อน – วิธีแก้ไขปัญหา

เราได้เพิ่มกฎการตรวจสอบใหม่ให้กับไฟล์การกำหนดค่า /etc/audit/rules.d/audit.rules ดังที่แสดงด้านล่าง:

# vi /etc/audit/rules.d/audit.rules
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change
-a always,exit -F arch=b64 -S sethostname -S setdomainname -k system-locale

แต่การกำหนดค่าเหล่านี้ไม่ได้สะท้อนให้เห็น

# auditctl -l
No rules

หมายเหตุ: บน CentOS/RHEL 6 ไฟล์การกำหนดค่าคือ /etc/audit/audit.rules แทนที่จะเป็น /etc/audit/rules.d/audit.rules

สารละลาย

1. สิ่งแรกที่ต้องตรวจสอบที่นี่คือไวยากรณ์ของกฎ และแก้ไขหากผิด ตัวอย่างเช่น คุณสามารถเรียกใช้กฎที่คุณกำหนดค่าไว้ในไฟล์การกำหนดค่าได้ด้วยตนเอง คุณควรเห็นข้อผิดพลาดทางไวยากรณ์บนบรรทัดคำสั่งเมื่อคุณเรียกใช้คำสั่ง ตัวอย่างเช่น:

# auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -S stime -S clock_settime -k time-change
Syscall name unknown: stime
The audit system is in immutable mode, no rule changes allowed

2. แก้ไขอาร์กิวเมนต์กฎ "-S เวลา" และรีสตาร์ทระบบ จำเป็นต้องรีสตาร์ทเพื่อปิดใช้งานโหมดที่ไม่เปลี่ยนรูปของ auditd

3. โพสต์รีบูต กฎการตรวจสอบทั้งหมดจะสะท้อนให้เห็น

# auditctl -l
-a always,exit -F arch=x86_64 -S adjtimex,settimeofday,time,clock_settime -F key=time-change
-a always,exit -F arch=x86_64 -S sethostname,setdomainname -F key=system-locale

หากคุณตั้งค่าไวยากรณ์ที่ไม่ถูกต้องในไฟล์การกำหนดค่า /etc/audit/rules.d/audit.rules auditd จะหยุดการลงทะเบียนกฎ ดังนั้น กฎทั้งหมดที่อยู่หลังบรรทัดไวยากรณ์ที่ไม่ถูกต้อง จะไม่สะท้อนให้เห็น

วันนี้ เราได้เรียนรู้ว่าวิศวกรฝ่ายสนับสนุนของเราแก้ปัญหาการกำหนดค่ากฎการตรวจสอบได้อย่างไร