Eu estive estudando o login no Linux, mas cheguei a um bloqueio que me deixou preso nos últimos dias. Meu objetivo é encaminhar logs de dois pi de framboesa que executam o OpenSUSE Tumbleweed (aarch64) para o meu laptop executando o Ubuntu 17.04. Estou usando rsyslog para realizar isso, que está usando imjournal como a fonte porque quero armazenar os logs no formato json com todos os metadados extras fornecidos pelo systemd-journal e reproduzi-los posteriormente.
O problema que estou tentando resolver é a falta de _TRANSPORT=audit no meu pi de framboesa. Eu recompilei systemd com audit support em um dos meus pi's pensando que isso resolveria o problema, mas não foi. Eu também adicionei audit=1 à linha de comando do kernel nos pi's e os reiniciei. Meu laptop suporta o audit transport.
Aqui está a saída de journalctl --version , sudo journalctl --field _TRANSPORT e cat /proc/cmdline em meus vários sistemas.
laptop:
$ journalctl --version
systemd 232
+PAM +AUDIT +SELINUX +IMA +APPARMOR +SMACK +SYSVINIT +UTMP
+LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID +ELFUTILS
+KMOD +IDN
$ sudo journalctl --field _TRANSPORT
syslog
stdout
journal
audit
driver
kernel
$ cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-4.10.0-33-generic.efi.signed
root=UUID=cf4dc10b-511a-4369-ad5c-637833244929 ro apparmor=1
security=apparmor
rpi1 (reconfigurado systemd com audit support):
$ journalctl --version
systemd 234
+PAM +AUDIT +SELINUX -IMA +APPARMOR -SMACK +SYSVINIT +UTMP
+LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL +XZ +LZ4 +SECCOMP +BLKID -ELFUTILS
+KMOD -IDN2 -IDN default-hierarchy=hybrid
$ sudo journalctl --field _TRANSPORT
stdout
kernel
journal
syslog
driver
$ cat /proc/cmdline
BOOT_IMAGE=/boot/Image-4.4.83-5-default root=UUID=30bbe534-b90f-4de6-
a0e6-1e2b60088461 root=/dev/disk/by-id/mmc-ACLCD_0xd02f42e5-part2
disk=/dev/disk/by-id/mmc-ACLCD_0xd02f42e5 resume=/dev/disk/by-id/mmc-
ACLCD_0xd02f42e5-part3 quiet splash=silent plymouth.enable=0
swiotlb=512,force cma=384M console=ttyS0,115200n8 console=tty quiet
audit=1
rpi2 (com o original systemd configurado pela distro):
$ journalctl --version
systemd 234
+PAM -AUDIT +SELINUX -IMA +APPARMOR -SMACK +SYSVINIT +UTMP
+LIBCRYPTSETUP +GCRYPT +GNUTLS +ACL+XZ +LZ4 +SECCOMP +BLKID -ELFUTILS
+KMOD -IDN2 -IDN default-hierarchy=hybrid
$ sudo journalctl --field _TRANSPORT
stdout
kernel
journal
syslog
driver
cat /proc/cmdline
BOOT_IMAGE=/boot/Image-4.4.83-5-default root=UUID=30bbe534-b90f-4de6-
a0e6-1e2b60088461 root=/dev/disk/by-id/mmc-ACLCD_0xcaf643ee-part2
disk=/dev/disk/by-id/mmc-ACLCD_0xcaf643ee resume=/dev/disk/by-id/mmc-
ACLCD_0xcaf643ee-part3 quiet splash=silent plymouth.enable=0
swiotlb=512,force cma=384M console=ttyS0,115200n8 console=tty quiet
audit=1
Não tenho certeza do que preciso fazer para disponibilizar o transporte de auditoria para systemd-journald em meus rpi. Eu tenho o auditd.service e o systemd-journald-audit.socket ativado e ativo em todos os meus sistemas. Se você precisar de outras informações, é só me avisar, obrigado.