Domanda :Come configurare auditd per modificare le autorizzazioni predefinite su /var/log/audit/audit.log da 0600 a 0640 e anche modificare la proprietà del gruppo del file?
Per impostazione predefinita non è possibile modificare i permessi sul file /var/log/audit/audit.log utilizzando gli ACL, invece "log_group ” può essere impostato nel file /etc/audit/audit.conf .
I passaggi
In questo esempio, vorremmo modificare le autorizzazioni predefinite su /var/audit/audit.log da 600 a 640 e anche cambiare gruppo da root a splunk .
1. Controlla le autorizzazioni correnti sul file /var/audit/audit.log, principalmente è root:root con 0600
# ls -l /var/log/audit/audit.log -rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log
2. Modifica /etc/audit/auditd.conf file e cambia log_group a splunk .
Prima del cambiamento:
# cat /etc/audit/auditd.conf | grep log_group log_group = root
Dopo la modifica:
# cat /etc/audit/auditd.conf | grep log_group log_group = splunk
3. Riavvia il servizio di audit e verifica.
# service audit restart
4. Verifica le autorizzazioni su /var/log/audit/audit.log.
# ls -l /var/log/audit/audit.log -rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.logNota :In questo esempio utente splunk e gruppo presi per la demo, potrebbe essere nella tua configurazione potrebbe esserci un nome utente e gruppo diversi. Informazioni sul controllo del sistema con auditd