🔧 “The audit system is in immutable mode, no rules loaded” при запуске службы Auditd

Проблема

Auditd запускается в неизменяемом режиме —

# service auditd restart  
 Stopping auditd:             [OK]  
 Error deleting rule (Operation not permitted)  
 Starting auditd:             [OK]  
 The audit system is in immutable mode, no rules loaded

Первопричина

Auditd может быть настроен в неизменяемом режиме с опцией: -e 2::

# auditctl -e 2

из руководства auditctl:

# man auditctl
e [0..2]
Set enabled flag. When 0 is passed, this can be used to temporarily disable auditing.
When 1 is passed as an argument, it will enable auditing.
To lock the audit configuration so that it can’t be changed, pass a 2 as the argument.
Locking the configuration is intended to be the last command in audit.rules for anyone wishing this feature to be active.
Any attempt to change the configuration in this mode will be audited and denied.
The configuration can only be changed by rebooting the machine.

Например

# auditctl -e 2  
service auditd start  
Starting auditd: [ OK ]  
The audit system is in immutable mode, no rules loaded

Решение

1. Удалите «-e 2», если он присутствует в файле /etc/audit/audit.rules.

Для сброса неизменяемой опции требуется перезагрузка.

# vi /etc/audit/audit.rules

2. Если вы попытаетесь отобразить команды в /etc/audit/audit.rules, то он не сообщит, что файл является неизменяемым, в отличие от использования audtictl. Например:

# service auditd restart
Stopping auditd:                                           [  OK  ]
Error sending enable request (Operation not permitted)
Starting auditd:                                           [  OK  ]
The audit system is in immutable mode, no rule changes allowed

# auditctl -s
AUDIT_STATUS: enabled=2 flag=1 pid=1472 rate_limit=0 backlog_limit=64 lost=0 backlog=0

# auditctl -w /etc/ -p wa 
The audit system is in immutable mode, no rule changes allowed
# echo "-w /etc/ -p wa" > /etc/audit/audit.rules 

# auditctl -l
No rules

# cat /etc/audit/audit.rules 
-w /etc/ -p wa

Но на самом деле нет реальных правил, загружаемых в ядро, а просто на диск

# auditctl -l > file
# diff -u file /etc/audit/audit.rules 
--- file    2015-11-24 15:55:58.152082179 -0500
+++ /etc/audit/audit.rules  2015-11-24 15:46:16.856076936 -0500
@@ -1 +1 @@
-No rules
+-w /etc/ -p wa

3. Лучший способ подтвердить и внести любые необходимые изменения, чтобы избежать путаницы, — использовать команду augenrules:

# augenrules --check
/sbin/augenrules: Rules have changed and should be updated

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40