使用linux的审计功能记录/etc/resolv.conf的改动

Linux审计功能是一个强大的工具，可以帮助管理员跟踪系统的所有活动，并记录在系统日志中。如果要记录/etc/resolv.conf的更改，可以使用auditd守护进程来配置审计规则。

首先，确保auditd守护进程已经安装并启动。然后，通过以下命令创建一个新的审计规则文件（例如“/etc/audit/rules.d/resolv.conf.rules”）：

sudo nano /etc/audit/rules.d/resolv.conf.rules

在文件中添加以下规则：

-w /etc/resolv.conf -p wa -k resolv_conf_changes

这个规则指定监视/etc/resolv.conf文件的更改，并且将日志标记为“resolv_conf_changes”。

保存文件并重启auditd服务以使更改生效：

sudo systemctl restart auditd

现在，每当/etc/resolv.conf文件被修改时，都会在系统日志中记录一个审计事件。您可以使用以下命令查看最新的审计事件：

sudo ausearch -k resolv_conf_changes

相关问题

如何保存生效/etc/resolv.conf

### 如何让修改后的 `/etc/resolv.conf` 生效

在 Linux 系统中，为了确保对 `/etc/resolv.conf` 的修改能够持久化并生效，有几种方法可以采用。

#### 使用 `resolvconf` 工具
对于支持 `resolvconf` 的系统而言，该工具可以帮助管理和维护 `/etc/resolv.conf` 文件的内容，在每次启动时自动应用所需的设置[^1]。通过这种方式，即使发生意外情况或服务重启，也能保持自定义的 DNS 设置不变。

如果安装了此软件包，则可以通过命令行添加新的名称服务器条目到临时缓冲区：

echo "nameserver 8.8.8.8" | sudo tee /etc/resolvconf/resolv.conf.d/tail
sudo resolvconf -u

这会更新当前使用的解析器配置而不影响其他部分，并且这些改动将在未来的引导过程中被保留下来。

#### 处理符号链接问题
有时 `/etc/resolv.conf` 可能是一个指向由 systemd-resolved 或 NetworkManager 创建的实际位置的符号链接[^2]。因此直接编辑它可能导致更改无法保存。针对这种情况，应该找到最终的目标文件路径（通常是 `/run/systemd/resolve/stub-resolv.conf`），并对那个地方做相应的调整；或者禁用动态生成机制而创建一个静态版本的 `/etc/resolv.conf`。

要实现这一点，可执行如下操作：

- 停止并禁用 `systemd-resolved.service`

  sudo systemctl stop systemd-resolved.service
  sudo systemctl disable systemd-resolved.service

- 移除现有的软连接

  sudo rm /etc/resolv.conf

- 编辑一个新的 `/etc/resolv.conf` 文件

  echo 'nameserver 8.8.8.8' | sudo tee /etc/resolv.conf

请注意，这样做可能会干扰某些依赖于默认行为的服务程序的功能，所以在采取行动前需谨慎考虑环境的具体需求。

#### 应对配置丢失的问题
当遇到 `/etc/resolv.conf` 中的手动设定在网络重启之后消失的情况时，可能是因为 DHCP 客户端或其他网络管理工具覆盖了用户的定制项[^3]。为了避免这个问题的发生，可以在对应的网络接口配置脚本里指定固定的 DNS 地址，从而防止它们被重写掉。

例如，在基于 Debian 的发行版上，可以在 `/etc/dhcp/dhclient.conf` 添加以下内容来阻止 DHCP 更新 DNS 设置：

supersede domain-name-servers 8.8.8.8, 8.8.4.4;

而对于 Red Hat 类似的系统来说，则是在 `/etc/sysconfig/network-scripts/ifcfg-*` 接口配置文件内加入下面两行：

DNS1=8.8.8.8
PEERDNS=no

这样做的目的是告诉操作系统忽略来自外部源的任何有关域名系统的建议值，转而使用本地预设好的选项。

resolv.conf中增加imgapp.spdb.com 14.4.0.3的dns怎么设置

在Linux系统中，`resolv.conf` 文件是用来配置DNS服务器地址的配置文件。如果你想在 `resolv.conf` 文件中添加一个新的DNS解析记录，比如将域名 `imgapp.spdb.com` 解析到IP地址 `14.4.0.3`，你可以按照以下步骤进行操作：

1. 打开终端。
2. 使用文本编辑器以管理员权限编辑 `resolv.conf` 文件。通常可以使用 `vi`、`nano` 或其他你喜欢的文本编辑器。例如，使用 `nano` 的命令可能如下所示：

   sudo nano /etc/resolv.conf

3. 在文件中添加以下行来设置DNS解析：

   nameserver 14.4.0.3

如果你想要保留原有的DNS服务器配置，并添加新的解析记录，可以这样写：

   nameserver 14.4.0.3

注意：确保不要重复添加 `nameserver` 行，除非你有多个DNS服务器需要设置。

4. 保存文件并退出编辑器。

5. 为了使改动立即生效，你可以执行以下命令重新启动网络服务（具体命令取决于你使用的Linux发行版）：

   sudo systemctl restart network

或者

   sudo service network restart

请注意，直接编辑 `resolv.conf` 文件可能在系统重启后失效，因为某些网络管理工具（如NetworkManager）可能会覆盖这些手动更改。如果你希望改动持久化，可能需要调整你的网络管理工具的配置或使用其他配置方法。