Só para esclarecer, o auditd é uma ferramenta inestimável, mas não tornará seu sistema mais seguro. O que ele fará é fornecer um registro muito mais detalhado de certas atividades. Alguém ainda precisará revisar os logs gerados. Muito parecido com a árvore, se uma atividade é monitorada, mas ninguém está assistindo, os logs são importantes?
No mais simples, usei o seguinte para /etc/audit/audit.rules . Ele lançará um log sempre que o sistema setrlimit ou stime chamar exit, assim como sempre que um diretório for excluído.
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
-e 1
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024
# Feel free to add below this line. See auditctl man page
-a exit,always -S unlink -S rmdir
-a exit,always -S stime.*
-a exit,always -S setrlimit.*
Para alguns exemplos mais detalhados, confira o CIS Benchmark para RHEL 5.1-5.2 . Infelizmente, não existe um para o Ubuntu, e o do Debian tem vários anos. No entanto, não deve haver nada nessa seção que seja específico da distribuição.