У меня путаница с правилами аудита RedHat Entriprise Linux. Audit.rules содержит следующее
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
Из документации -D означает:
deletes all currently loaded Audit rules, for example:
так что же сгенерирует вышеуказанный audit.rules? audit.log какая информация там будет? как узнать, что отслеживается? Мое первоначальное понимание этого правила заключается в том, что оно удалит все предыдущие проверенные действия после перезагрузки, но что на самом деле проверяется после этого?
Ваше разъяснение действительно ценно
решение1
По умолчанию нет правил аудита. Этот файл существует как основа для написания собственных правил. Нет ни одного правила, которое было бы полезно для всех систем, поэтому дистрибутив не содержит правил. То, что вам нужно регистрировать, зависит от того, для чего вы используете свою систему и что вы хотите о ней знать.
Файл начинается с очистки существующих правил, чтобы вы могли перезапустить службу аудита в работающей системе и вернуться в известное состояние, независимо от того, какие правила присутствовали ранее.
Обратите внимание, что обычно правила записываются в файлы в формате /etc/audit/rules.d. Это упрощает манипулирование независимыми наборами правил, особенно если некоторые файлы поступают из пакетов или из программного обеспечения управления конфигурацией, такого как Puppet или Ansible. Файл /etc/audit/audit.rulesрегенерируется непосредственно перед (пере)запуском службы аудита.