Вопрос или проблема
У меня есть файл /etc/audit/rules.d/audit.rules с следующим содержимым:
-a always,exit -F arch=b32 -S chown,fchown,fchownat,lchown -F auid>=1000 ...и т.д...
-a always,exit -F arch=b64 -S chown,fchown,fchownat,lchown -F auid>=1000 ...и т.д...
После выполнения augenrules то же самое содержится в файле /etc/audit/audit.rules.
Однако команда auditctl -l отображает строки как:
-a always,exit -F arch=b32 -S lchown,fchown,chown,fchownat -F auid>=1000 ...и т.д...
-a always,exit -F arch=b64 -S chown,fchown,fchownat,lchown -F auid>=1000 ...и т.д...
Несмотря на все попытки обновить сервис auditd и его конфигурации, auditctl -l не совпадает с тем, что содержится в файлах правил. Почему это происходит и есть ли способ это исправить?
Ответ или решение
Причины, по которым вывод команды auditctl -l отличается от ожиданий, могут быть связаны с несколькими аспектами конфигурации системы аудита в Linux. Давайте подробно рассмотрим возможные причины и способы решения данной проблемы.
1. Порядок размещения системных вызовов
Ваша проблема, связанная с тем, что в выводе auditctl -l порядок системных вызовов (например, chown, lchown и других) отличается от того, что указано в файле /etc/audit/rules.d/audit.rules, может быть вызвана тем, как augenrules обрабатывает и упорядочивает правила. Когда augenrules формирует правила, он может переставлять вызовы в определенном порядке. Это не влияет на функциональность, но может сбивать с толку при проверке конфигурации.
2. Проверка грузки правил
Важно убедиться, что изменения, внесенные вами в файл /etc/audit/rules.d/audit.rules, успешно загружаются в auditd. Для этого выполните следующие шаги:
- После внесения изменений в файл всегда запускайте команду
service auditd restartилиsystemctl restart auditd, чтобы перезапустить службу аудита и применить изменения. - Проверьте наличие ошибок в журнале аудита с помощью
journalctl -xe, чтобы исключить проблемы с загрузкой правил.
3. Проверка совместимости архитектур
Убедитесь, что архитектуры 32-бит и 64-бит соответствуют настройкам системы. Правила, определенные для arch=b32, будут применяться только к 32-битным процессам. Если вы используете 64-битную систему, имейте в виду, что некоторые системные вызовы могут не отображаться в порядке, который ожидаете.
4. Кэширование и временные файлы
Существуют случаи, когда система может кэшировать старые правила или не обновлять их после изменений. Убедитесь, что:
- Файлы правил находятся в правильной директории и не содержат конфликтующих записей.
- Удалите временные файлы и перезапустите службу, если необходимо.
5. Настройка правил с помощью auditctl
Если вы хотите избежать путаницы, можно использовать auditctl напрямую для установки правил, что позволит вам видеть точное состояние правил после их применения. Например:
auditctl -a always,exit -F arch=b32 -S chown,fchown,fchownat,lchown -F auid>=10006. Документация и поддержка
Рекомендуется также ознакомиться с документацией по audit и auditctl, а также рассмотреть возможность обращения за поддержкой к сообществу или на форумы, если вы столкнулись с уникальной проблемой.
Заключение
Несоответствие между выводом auditctl -l и правилами в конфигурационных файлах может быть вызвано несколькими причинами, начиная от обработки системных вызовов до проблем с загрузкой правил. Внимательно следя за процессом загрузки и управления аудитом, вы сможете устранить такие несоответствия и обеспечить корректную работу системы аудита.