7.5.2. ファイルでの永続監査ルールおよび制御の /etc/audit/audit.rules 定義
再起動後も持続する Audit ルールを定義するには、
/etc/audit/audit.rules ファイルに含める必要があります。このファイルは、同じ auditctl コマンドライン構文を使用してルールを指定します。空の行やハッシュ記号(#)の後に続くテキストは無視されます。
また、auditctl コマンドは、
-R オプションを使用して、指定したファイルからルールを読み込むために使用することもできます。以下に例を示します。
~]# auditctl -R /usr/share/doc/audit-version/stig.rulesコントロールルールの定義
ファイルには、Audit システムの動作を変更する以下の制御ルール(、
-b、、-D -e -f、および)のみを含めることができます -r。これらのオプションの詳細は、を参照してください 「コントロールルールの定義」。
例7.3 の制御ルール audit.rules
# Delete all previous rules -D # Set buffer size -b 8192 # Make the configuration immutable -- reboot is required to change audit rules -e 2 # Panic when a failure occurs -f 2 # Generate at most 100 audit messages per second -r 100
ファイルシステムおよびシステムコールルールの定義
ファイルシステムおよびシステムコールルールは、auditctl 構文を使用して定義されます。の例は、以下のルールファイルで表示 「auditctl ユーティリティーを使用した Audit ルールの定義」 できます。
例7.4 のファイルシステムおよびシステムコールルール audit.rules
-w /etc/passwd -p wa -k passwd_changes -w /etc/selinux/ -p wa -k selinux_changes -w /sbin/insmod -p x -k module_insertion -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=500 -F auid!=4294967295 -k delete
事前設定されたルールファイル
/usr/share/doc/audit-version/ ディレクトリーでは、audit パッケージは、さまざまな証明書規格に従って、事前設定されたルールファイルのセットを提供します。
nispom.rules- National Industrial Security Program Operating Manual の第 8 章で指定されている要件を満たす監査ルール設定capp.rules: Common Criteria 証明書に含まれる Controlled Access Protection Profile (CAPP)によって設定されている要件を満たす監査ルール設定。lspp.rules: Common Criteria 証明書に含まれる Labeled Security Protection Profile (LSPP)で設定されている要件を満たす監査ルール設定。stig.rules: セキュリティー技術実装ガイド(STIG)で設定されている要件を満たす監査ルール設定。
これらの設定ファイルを使用するには、元の
/etc/audit/audit.rules ファイルのバックアップを作成し、任意の設定ファイルを /etc/audit/audit.rules ファイルにコピーします。
~]# cp /etc/audit/audit.rules /etc/audit/audit.rules_backup ~]# cp /usr/share/doc/audit-version/stig.rules /etc/audit/audit.rules
