auditdの設定ファイルの中身を簡単に変更されないようにするため、設定ファイルをロックしマシンを再起動しないと変更内容が有効にならないようにします。
下記資料を参考にしました。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
/etc/audit/audit.rulesの最後の行に下記記述を追加します。
-e 2
●-eオプション
設定ファイルの”enabled”を制御するフラグ
・フラグを0
一時的に監査を無効にしたい場合に使用
・フラグの値を1
監査を有効にする場合に使用
・フラグを2
監査を有効にして、設定内容を変更できないようにロックする。
このモードで設定変更しようとすると監査によって拒否される。マシンの再起動によってのみ設定を変更できる。