SUSE Linux Enterprise Server 12、15操作系统中,当试图使用auditctl命令在audited中加载新规则时,您可能会遇到一个错误,指出审核系统处于不可变模式,不允许更改规则。这是因为audited被设置为不可变模式,从而阻止添加或修改规则。
# auditctl -a always,exit -F dir=/home -F perm=war -k file_del The audit system is in immutable mode, no rule changes allowed
解决方案
要添加永久审核规则,可以按照以下步骤操作:在/etc/audit/rules.d/目录下创建一个规则文件,然后重新启动服务器。在重新启动期间,将加载已审核的规则,并且应将具有不可变标志的规则设置为最后一个规则。
原创文章,作者:实战侠,如若转载,请注明出处:https://www.shizhanxia.com/1321.html