この手順では、デーモの実行中に監査構成ファイルを変更した場合に、auditd デーモンを再起動します。
Audit Control 権利プロファイルを含む役割を引き受けるか、あるいはスーパーユーザーになります。
Audit Control 権利プロファイルを含む役割の作成方法およびユーザーに役割を割り当てる方法については、「RBAC の構成 (作業マップ)」を参照してください。
適切なコマンドを選択します。
audit_control ファイルの naflags 行を変更する場合は、ユーザーに起因しないイベント用のカーネルマスクを変更します。
$ /usr/sbin/auditconfig -aconf |
リブートすることもできます。
audit_control ファイルのほかの行を変更する場合は、audit_control ファイルを再度読み込みます。
監査デーモンは、audit_control ファイルからの情報を内部で格納します。新しい情報を使用するには、システムを再起動するか、または変更されたファイルを監査デーモンが読み込むようにします。
$ /usr/sbin/audit -s |
監査レコードは、各プロセスに関連付けられた監査事前選択マスクに基づいて生成されます。audit -s を実行しても、既存のプロセス内のマスクは変更されません。既存プロセスの事前選択マスクを変更するには、プロセスを再起動する必要があります。リブートすることもできます。
audit -s コマンドを使用すると、監査デーモンはディレクトリと最小限の空きの値を audit_control ファイルから再度読み取ります。このコマンドにより、後続のログインにより発生するプロセス用の事前選択マスクの生成が変更されます。
監査デーモンの実行中に audit_event ファイルまたは audit_class ファイルを変更する場合は、監査サービスを再表示します。
変更したイベントからクラスへのマッピングをシステムに読み込み、マシンを使用する各ユーザーが正しく監査されているかを確認します。
$ auditconfig -conf $ auditconfig -setumask auid classes |
ユーザー ID です。
事前に選択された監査クラスです。
例については、「ユーザーの事前選択マスクを変更する方法」を参照してください。
稼動中のシステムで監査ポリシーを変更するには、例 30–17 を参照してください。
この例では、システムをシングルユーザーモードにしたあとで、マルチユーザーモードに戻します。システムがマルチユーザーモードになったとき、変更された構成ファイルがシステムに読み込まれます。
# init S # init 6 |