问题
如何配置 auditd 以将 /var/log/audit/audit.log 的默认权限从 0600 更改为 0640 并更改文件的组所有权?
默认情况下,无法使用 ACL 更改 /var/log/audit/audit.log 文件的权限,而是可以在文件 /etc/audit/audit.conf 下设置“log_group”参数。
欢迎来到之路教程(on itroad-com)
步骤
在此示例中,我们希望将 /var/audit/audit.log 的默认权限从 600 更改为 640,并将组从 root 更改为 splunk 。
- 检查/var/audit/audit.log文件的当前权限,主要是root:root和0600
# ls -l /var/log/audit/audit.log -rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log
- 编辑 /etc/audit/auditd.conf 文件并将 log_group 更改为 splunk 。
将
# cat /etc/audit/auditd.conf | grep log_group log_group = root
改成:
# cat /etc/audit/auditd.conf | grep log_group log_group = splunk
- 重启审计服务并检查。
# service audit restart
- 检查/var/log/audit/audit.log 的权限。
# ls -l /var/log/audit/audit.log -rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.log
日期:2020-09-17 00:13:12 来源:oir作者:oir