mercredi 27 mai 2020

The audit system is in immutable mode, no rule changes allowed

Modification des règles auditd - redhat / centos

Si vous voulez modifier les règles d'audit, vous pouvez avoir le message d'erreur suivant:

[root@alien1 ~]# auditctl -a exit,always -F arch=b64 -F euid=0 -S execve -k rootcmd
The audit system is in immutable mode, no rule changes allowed
Aller dans /etc/audit/rules.d
Modifier le fichier "immutable.rules"

[root@alien1 rules.d]# cat immutable.rules 

# Set the audit.rules configuration immutable per security requirements
# Reboot is required to change audit rules once this setting is applied
-e 1
-e 1 #autoriser la modification des règles d'audit.
-e 2 #les règles ne sont pas modifiables

https://connect.ed-diamond.com/GNU-Linux-Magazine/GLMFHS-093/Journalisez-les-actions-de-vos-utilisateurs-avec-Auditd
Publié par à Aucun commentaire:
Inscription à : Articles (Atom)