私は最近32ビットRHEL 6.9システムでファイルを変更しましたが、最後にファイルを変更できないようにする必要があるため、新しいルールを適用するには再起動する必要があることaudit.rulesを知っています。-e 2
したがって、マシンが再起動され、auditdサービスが正しく開始され、コマンドを実行すると、予想されるルールがロードauditctl -lされたことが確認されます。
ただし、再起動し、監査ルールが正しくロードされていることを確認したら、次のコマンドを実行するたびに次の手順を実行します。
service auditd restart
出力は次のとおりです。
Stopping auditd: [ OK ]
Error deleting rule (Operation not permitted)
Error sending enable request (Operation not permitted)
Starting auditd: [ OK ]
audit.rules私が知りたいのは、再起動後に新しいルールがファイルに追加されない理由です。これらのエラーはなぜ発生しますか?
私が理解したのは、ファイルが変更不可能に設定されていて、実行時に新しいルールをロードしようとした場合にのみポップアップを表示する必要があります。
ベストアンサー1
「-e 2」を設定すると、 auditd の設定を有効にしてロックできるので変更できません。したがって、再起動時に発生したように停止することはできません。監査を中断することは変わります。あなたはそのようなことが起こらないように指示しました。そのため、再起動しようとするとこのエラーが発生します。 auditdを有効にして変更できないようにするには、「-e 1」を設定して再起動するか、「-e 2」を設定した状態で変更するには、再起動してください。