Ich bin verwirrt über die Audit-Regeln von RedHat Enterprise Linux. Die Audit.rules enthalten Folgendes
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
Aus der Dokumentation geht hervor, dass -D bedeutet:
deletes all currently loaded Audit rules, for example:
was würden also die oben genannten Audit-Regeln generieren? Welche Art von Informationen würde das Audit-Log enthalten? Wie kann ich wissen, was überwacht wird? Mein erstes Verständnis dieser Regel ist, dass sie nach einem Neustart alle zuvor überwachten Aktionen löscht, aber was wird danach tatsächlich überwacht?
Ihre Klarstellung wird sehr geschätzt
Antwort1
Standardmäßig gibt es keine Audit-Regeln. Diese Datei dient als Grundlage, um eigene Regeln zu schreiben. Es gibt keine Regel, die auf allen Systemen anwendbar ist, daher enthält die Distribution keine Regeln. Was Sie protokollieren müssen, hängt davon ab, wofür Sie Ihr System verwenden und was Sie darüber wissen möchten.
Die Datei löscht zunächst vorhandene Regeln, sodass Sie den Audit-Dienst auf einem laufenden System neu starten können und in einen bekannten Zustand gelangen, unabhängig davon, welche Regeln zuvor vorhanden waren.
Beachten Sie, dass Regeln normalerweise in Dateien in geschrieben werden /etc/audit/rules.d. Dies erleichtert die Bearbeitung unabhängiger Regelsätze, insbesondere wenn einige Dateien aus Paketen oder aus Konfigurationsverwaltungssoftware wie Puppet oder Ansible stammen. Die Datei /etc/audit/audit.ruleswird unmittelbar vor dem (Neu-)Starten des Audit-Dienstes neu generiert.