1. ホーム
  2. 質問と答え
  3. Redhat 7でのauditdサービスの停止を防ぎます

Redhat 7でのauditdサービスの停止を防ぎます

2016-07-22 15 views
5

Curently、私はauditdサービスを永久に実行したいと思います。Redhat 7でのauditdサービスの停止を防ぎます

現在の私のauditdサービス:

~]# systemctl cat auditd 

# /usr/lib/systemd/system/auditd.service 
[Unit] 
Description=Security Auditing Service 
DefaultDependencies=no 
After=local-fs.target systemd-tmpfiles-setup.service 
Conflicts=shutdown.target 
Before=sysinit.target shutdown.target 
RefuseManualStop=yes 
ConditionKernelCommandLine=!audit=0 

[Service] 
ExecStart=/sbin/auditd -n 
## To not use augenrules, copy this file to /etc/systemd/system/auditd.service 
## and comment/delete the next line and uncomment the auditctl line. 
## NOTE: augenrules expect any rules to be added to /etc/audit/rules.d/ 
ExecStartPost=-/sbin/augenrules --load 
#ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules 
ExecReload=/bin/kill -HUP $MAINPID 

[Install] 
WantedBy=multi-user.target 


# /etc/systemd/system/auditd.service.d/override.conf 
[Service] 
ExecReload= 
ExecReload=/bin/kill -HUP $MAINPID ; /sbin/augenrules --load

私は、コマンドからこのサービスを停止することはできません。

# systemctl stop auditd.service 

Failed to stop auditd.service: Operation refused, unit auditd.service may be requested by dependency only.

しかし、ときに私はservice auditd stopコマンドを使用して。私はこのサービスを正常に停止することができます。

# service auditd stop 
Stopping logging:           [ OK ]

どうすればいいですか?ありがとう

出典

2016-07-22 Thao Nguyen

+0

'systemctl cat auditd'の出力を含めるべきです – Siosm

+0

このコマンドの結果を追加しました。 –

答えて

3

管理者(root)は、常に手動でauditdプロセス(これはserviceコマンドの機能)を強制終了できます。ここで何をしているのかは、システム管理者がsystemctlインタフェース経由で行うのを防ぐことです。

いずれの場合も、特権を持たないユーザーはデーモンを強制終了できません。

rootができることを制限する場合は、SELinuxを使用してポリシーをカスタマイズする必要があります。

出典

2016-08-09 23:46:41 Siosm

関連する問題

 関連する問題