Tengo confusión sobre las reglas de auditoría de Linux empresarial de RedHat. Las reglas de auditoría contienen lo siguiente
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
De la documentación -D significa:
deletes all currently loaded Audit rules, for example:
Entonces, ¿qué generarían las reglas de auditoría anteriores? audit.log ¿qué tipo de información estaría allí? ¿Cómo puedo saber qué se está monitoreando? Mi comprensión inicial de esta regla es que eliminaría todas las acciones auditadas anteriores una vez que se realiza el reinicio, pero después de eso, ¿qué se audita realmente?
tu aclaración es realmente apreciada
Respuesta1
De forma predeterminada, no existen reglas de auditoría. Este archivo existe como base para escribir sus propias reglas. No existe ninguna regla que sea útil en todos los sistemas, por lo que la distribución no viene con reglas. Lo que necesita para iniciar sesión depende de para qué utiliza su sistema y de lo que desea saber al respecto.
El archivo comienza borrando las reglas existentes para que pueda reiniciar el servicio de auditoría en un sistema en ejecución y llegará a un estado conocido, independientemente de las reglas que estaban presentes antes.
Tenga en cuenta que, por lo general, las reglas se escriben en archivos en formato /etc/audit/rules.d. Esto facilita la manipulación de conjuntos de reglas independientes, especialmente si algunos archivos provienen de paquetes o de software de gestión de configuración como Puppet o Ansible. El archivo /etc/audit/audit.rulesse regenera justo antes de (re)iniciar el servicio de auditoría.