Pregunta :¿Cómo configurar auditd para cambiar los permisos predeterminados en /var/log/audit/audit.log de 0600 a 0640 y también cambiar la propiedad grupal del archivo?
De forma predeterminada, no es posible cambiar los permisos en el archivo /var/log/audit/audit.log usando ACL, en su lugar, "log_group El parámetro ” se puede configurar en el archivo /etc/audit/audit.conf .
Los pasos
En este ejemplo, nos gustaría cambiar los permisos predeterminados en /var/audit/audit.log de 600 a 640 y también cambiando de grupo desde raíz para splunk .
1. Verifique los permisos actuales en el archivo /var/audit/audit.log, en su mayoría es root:root con 0600
# ls -l /var/log/audit/audit.log -rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log
2. Edite /etc/audit/auditd.conf archivo y cambio log_group para splunk .
Antes del cambio:
# cat /etc/audit/auditd.conf | grep log_group log_group = root
Después del cambio:
# cat /etc/audit/auditd.conf | grep log_group log_group = splunk
3. Reinicie el servicio de auditoría y verifique.
# service audit restart
4. Verifique los permisos en /var/log/audit/audit.log.
# ls -l /var/log/audit/audit.log -rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.logNota :En este ejemplo, el usuario y el grupo de splunk se tomaron para la demostración; es posible que en su configuración haya un nombre de usuario y de grupo diferente. Descripción de la auditoría del sistema con auditd