Kylin-Server-V10-SP3-2403-麒麟系统等保三级开启日志审计流程

 

[root@localhost kylin]# grub2-mkconfig -o /boot/grub2/grub.cfg

 

修复建议
"编辑 /etc/audit/audit.rules 或 /etc/audit/rules.d/ 目录下的 .rules 文件，添加如下配置：
-a always，exit -F arch=b64 -S adjtimex，settimeofday，clock_settime -k time-change
-a always，exit -F arch=b32 -S adjtimex，settimeofday，clock_settime -k time-change
-w /etc/localtime -p wa -k time-change
加载规则：
# augenrules --load"
"编辑 /etc/audit/audit.rules 或 /etc/audit/rules.d/ 目录下的 .rules 文件，添加如下配置：
-a always，exit -F arch=b64 -S unlink，unlinkat，rename，renameat -F auid>=1000 -F auid!=unset -k delete
-a always，exit -F arch=b32 -S unlink，unlinkat，rename，renameat -F auid>=1000 -F auid!=unset -k delete
加载规则：
# augenrules --load"
"编辑 /etc/audit/audit.rules 或 /etc/audit/rules.d/ 目录下的 .rules 文件，添加如下配置：
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
加载规则：
# augenrules --load"
"编辑 /etc/audit/audit.rules 或 /etc/audit/rules.d/ 目录下的 .rules 文件，添加如下配置：
-w /etc/sudoers -p wa -k scope
-w /etc/sudoers.d/ -p wa -k scope
加载规则：
# augenrules --load"

 

 

cat /etc/audit/audit.rules
augenrules --load
auditctl -l
systemctl restart auditd

systemctl status auditd.service

查看配置文件