7

在我的剧本中,我有一个更新 audit.rules 的任务,然后通知应该重新启动 auditd 服务的处理程序。

task:
  - name:  6.6.7 - audit rules configuration
    template: src=X/ansible/templates/auditd_rules.j2
              dest=/etc/audit/rules.d/audit.rules
              backup=yes
              owner=root group=root mode=0640
     notify:
   - restart auditd


  handlers:
    - name: restart auditd
      service: name=auditd state=restarted

当 playbook 运行时,会更新审计规则并请求重新启动 auditd,但这会失败,如下所示。

RUNNING HANDLER [restart auditd] ***********************************************
fatal: [ipX-southeast-2.compute.internal]: FAILED! => {"changed": false, "failed": true, "msg": "Unable to restart service auditd: Failed to restart auditd.service: Operation refused, unit auditd.service may be requested by dependency only.\n"}

当我查看auditd 的单元定义时,我可以看到rejectManualStop=yes。这就是我无法重新启动服务的原因吗?一个人如何来接受新的审计规则?

 systemctl cat auditd.service
# /usr/lib/systemd/system/auditd.service
[Unit]
Description=Security Auditing Service
DefaultDependencies=no
After=local-fs.target systemd-tmpfiles-setup.service
Conflicts=shutdown.target
Before=sysinit.target shutdown.target
RefuseManualStop=yes
ConditionKernelCommandLine=!audit=0
Documentation=man:auditd(8) https://people.redhat.com/sgrubb/audit/

[Service]
ExecStart=/sbin/auditd -n
## To not use augenrules, copy this file to /etc/systemd/system/auditd.service
## and comment/delete the next line and uncomment the auditctl line.
## NOTE: augenrules expect any rules to be added to /etc/audit/rules.d/
ExecStartPost=-/sbin/augenrules --load
#ExecStartPost=-/sbin/auditctl -R /etc/audit/audit.rules
ExecReload=/bin/kill -HUP $MAINPID
# By default we don't clear the rules on exit. To enable this, uncomment
# the next line after copying the file to /etc/systemd/system/auditd.service
#ExecStopPost=/sbin/auditctl -R /etc/audit/audit-stop.rules

[Install]
WantedBy=multi-user.target
4

5 回答 5

12

在Red Hat Bugzilla #1026648Anisble 问题 #22171 (github)报告中已对此进行了探索、讨论和解决(大部分) 。

解析度

  • 使用 ansibleservice模块参数use=service来强制执行/sbin/service实用程序,而不是systemd(调用/sbin/systemctl)的聚集事实值,如下所示:
    • - service: name=auditd state=restarted use=service
  • 示例剧本 (pastebin.com)

解决方法:

  • 使用 ansiblecommand模块显式运行服务可执行文件,如下所示:
    • - command: /sbin/service auditd restart

分析——根本原因:

  • 这是由 auditd.service 单元的上游打包造成的问题。systemctl显然是设计使然时,它不会启动/停止/重新启动。
  • Ansible 服务控制功能进一步完善了它,该功能使用在收集系统事实并且“ansible_service_mgr”返回“systemd”时确定的首选方法。这与用于管理 service.unit 的实际模块无关。
  • 如果在即将到来的更新中考虑到问题,RHEL 开发团队可能会修复 (ERRATA)
  • Ansible 开发团队提供了一种解决方法,并且(从 2.2 开始)service使用参数更新了模块use
于 2017-11-22T19:05:05.540 回答
3

也许答案迟到了,但如果其他人面临同样的问题,您可以auditd使用以下命令导入新规则:

auditctl -R /path/to_your_rules_file

因此,无需重新启动auditd.service即可导入新规则

于 2017-09-14T07:16:46.430 回答
2

我将验证 auditd 服务重新加载是否正确,因为即使使用带有您指定的命令的命令模块也不会按照您期望的方式工作或运行;

通过确认

service auditd status

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-starting_the_audit_service.html

试试吧

service auditd condrestart

:)

于 2017-03-17T11:25:56.417 回答
1

您不应该更改参数 rejectManualStop,它可以保证您的系统安全。你可以做什么,在创建新规则后,重新启动主机,等待它,然后继续你的剧本。

剧本示例:

- name: Create new rules file
  copy:
    src: 01-personalized.rules
    dest: /etc/audit/rules.d/01-personalized.rules
    owner: root
    group: root
    mode: 0600
  register: result

- name: Reboot server
  shell: "sleep 5 && reboot"
  async: 1
  poll: 0
  when: result is changed

- name: Wait for server to become available
  wait_for_connection:
    delay: 60
    sleep: 5
    timeout: 300
  when: result is changed
于 2018-09-04T08:46:32.153 回答
-4

将手动停止更改为 NO 并尝试

sudo 服务审核重新启动

如果这有效,那么代码也将有效

systemctl 启动审核

systemctl 启用审核

适用于版本 CentOS 版本 7。按照链接获取更多帮助。

关联

在 CentOS7 中审核

于 2016-12-09T05:29:36.490 回答