Question :Comment configurer auditd pour modifier les autorisations par défaut sur /var/log/audit/audit.log de 0600 à 0640 et également modifier la propriété du groupe du fichier ?
Par défaut, il n'est pas possible de modifier les autorisations sur le fichier /var/log/audit/audit.log à l'aide des ACL, à la place "log_group ” paramètre peut être défini sous le fichier /etc/audit/audit.conf .
Les étapes
Dans cet exemple, nous aimerions modifier les autorisations par défaut sur le /var/audit/audit.log de 600 à 640 et aussi changer de groupe depuis root pour splunk .
1. Vérifiez les autorisations actuelles sur le fichier /var/audit/audit.log, la plupart du temps c'est root :root avec 0600
# ls -l /var/log/audit/audit.log -rw------- 1 root root 3531590 Jun 1 00:20 /var/log/audit/audit.log
2. Modifiez /etc/audit/auditd.conf fichier et modifiez log_group pour splunk .
Avant modification :
# cat /etc/audit/auditd.conf | grep log_group log_group = root
Après modification :
# cat /etc/audit/auditd.conf | grep log_group log_group = splunk
3. Redémarrez le service d'audit et vérifiez.
# service audit restart
4. Vérifiez les autorisations sur /var/log/audit/audit.log.
# ls -l /var/log/audit/audit.log -rw-r----- 1 root splunk 3532862 Jun 1 00:24 /var/log/audit/audit.logRemarque :Dans cet exemple d'utilisateur et de groupe splunk pris pour la démonstration, il se peut que dans votre configuration, il puisse y avoir un nom d'utilisateur et de groupe différent.Comprendre l'audit du système avec auditd