Estou confuso sobre as regras de auditoria do RedHat Enterprise Linux. O audit.rules contém o seguinte
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
Da documentação -D significa:
deletes all currently loaded Audit rules, for example:
então, o que as audit.rules acima gerariam? audit.log que tipo de informação estaria lá? como posso saber o que está sendo monitorado? Meu entendimento inicial dessa regra é que ela excluiria todas as ações auditadas anteriores assim que a reinicialização fosse concluída, mas depois disso, o que realmente está sendo auditado?
seu esclarecimento é muito apreciado
Responder1
Por padrão, não há regras de auditoria. Este arquivo existe como base para escrever suas próprias regras. Não existe nenhuma regra que seja útil em todos os sistemas, então a distribuição não vem com regras. O que você precisa registrar depende da finalidade para a qual você usa seu sistema e do que você deseja saber sobre ele.
O arquivo começa limpando as regras existentes para que você possa reiniciar o serviço de auditoria em um sistema em execução e chegar a um estado conhecido, independentemente de quais regras estavam presentes antes.
Observe que normalmente as regras são escritas em arquivos no formato /etc/audit/rules.d. Isso facilita a manipulação de conjuntos independentes de regras, especialmente se alguns arquivos vierem de pacotes ou de software de gerenciamento de configuração, como Puppet ou Ansible. O arquivo /etc/audit/audit.rulesé regenerado pouco antes de (re)iniciar o serviço de auditoria.