11.10. 禁用 augenrules
使用以下步骤来禁用 augenrules
工具。这会将审计切换为使用 /etc/audit/audit.rules
文件中定义的规则。
流程
将
/usr/lib/systemd/system/auditd.service
文件复制到/etc/systemd/system/
目录中:# cp -f /usr/lib/systemd/system/auditd.service /etc/systemd/system/
在您选择的文本编辑器中编辑
/etc/systemd/system/auditd.service
文件,例如:# vi /etc/systemd/system/auditd.service
注释掉包含
augenrules
的行,将包含auditctl -R
命令的行取消注释:#ExecStartPost=-/sbin/augenrules --load ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
重新载入
systemd
守护进程以获取auditd.service
文件中的修改:# systemctl daemon-reload
重启
auditd
服务:# service auditd restart
其它资源
-
augenrules(8)
和audit.rules(8)
手册页。 - auditd 服务重启覆盖对 /etc/audit/audit.rules (红帽知识库)所做的更改