Вопрос: Как настроить auditd для изменения прав по умолчанию для /var/log/audit/audit.log с 0600 на 0640, а также для изменения владельца группы файла?
По умолчанию невозможно изменить разрешения для файла /var/log/audit/audit.log с помощью списков ACL, вместо этого параметр «log_group» можно установить в файле /etc/audit/audit.conf.
Шаги настройки
В этом примере мы хотели бы изменить разрешения по умолчанию для /var/audit/audit.log с 600 на 640, а также изменить группу с root на splunk.
1. Проверьте текущие права доступа к файлу /var/audit/audit.log, в основном это root: root с 0600
# ls -l /var/log/audit/audit.log -rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log
2. Отредактируйте файл /etc/audit/auditd.conf и измените log_group на splunk.
До изменения:
# cat /etc/audit/auditd.conf | grep log_group log_group = root
После
# cat /etc/audit/auditd.conf | grep log_group log_group = splunk
3. Перезапустите службу аудита и проверьте.
# service auditd restart
4. Проверьте права доступа на /var/log/audit/audit.log.
# ls -l /var/log/audit/audit.log -rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.log
Примечание. В этом примере разделенные пользователь и группа, взятые для демонстрации, могут быть в вашей настройке, могут быть разные имя пользователя и группы.