Как изменить права по умолчанию для файла /var/log/audit/auditlog в CentOS / RHEL

Вопрос: Как настроить auditd для изменения прав по умолчанию для /var/log/audit/audit.log с 0600 на 0640, а также для изменения владельца группы файла?

По умолчанию невозможно изменить разрешения для файла /var/log/audit/audit.log с помощью списков ACL, вместо этого параметр «log_group» можно установить в файле /etc/audit/audit.conf.

Шаги настройки

В этом примере мы хотели бы изменить разрешения по умолчанию для /var/audit/audit.log с 600 на 640, а также изменить группу с root на splunk.

1. Проверьте текущие права доступа к файлу /var/audit/audit.log, в основном это root: root с 0600

# ls -l /var/log/audit/audit.log-rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log

2. Отредактируйте файл /etc/audit/auditd.conf и измените log_group на splunk.

До изменения:

# cat /etc/audit/auditd.conf | grep log_grouplog_group = root

После

# cat /etc/audit/auditd.conf | grep log_grouplog_group = splunk

3. Перезапустите службу аудита и проверьте.

# service auditd restart

4. Проверьте права доступа на /var/log/audit/audit.log.

# ls -l /var/log/audit/audit.log-rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.log

Примечание. В этом примере разделенные пользователь и группа, взятые для демонстрации, могут быть в вашей настройке, могут быть разные имя пользователя и группы.

Отправка комментария

0 Комментарии