RHEL regras auditd -D

2

Eu tenho uma confusão sobre as regras de auditoria do Linux do RedHat entriprise. O audit.rules contém o seguinte

# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Feel free to add below this line. See auditctl man page

Da documentação -D significa:

deletes all currently loaded Audit rules, for example:

Então, o que as regras de auditoria acima gerariam? audit.log que tipo de informação estaria lá? Como posso saber o que está sendo monitorado? Meu entendimento inicial dessa regra é que ela excluiria todas as ações auditadas anteriores assim que a reinicialização fosse feita, mas depois disso, o que realmente está sendo auditado?

seu esclarecimento é muito apreciado

    
por Mr. Curious 21.05.2017 / 10:36

1 resposta

2

Por padrão, não há regras de auditoria. Este arquivo existe como base para escrever suas próprias regras. Não há nenhuma regra que seja útil em todo o sistema, portanto, a distribuição não vem com regras. O que você precisa registrar depende do que você usa para o seu sistema e o que você quer saber sobre ele.

O arquivo inicia limpando as regras existentes para que você possa reiniciar o serviço de auditoria em um sistema em execução e chegará a um estado conhecido, independente de quais regras estavam presentes antes.

Observe que, geralmente, as regras são gravadas em arquivos em /etc/audit/rules.d . Isso facilita a manipulação de conjuntos de regras independentes, especialmente se alguns arquivos vierem de pacotes ou de softwares de gerenciamento de configuração, como Puppet ou Ansible. O arquivo /etc/audit/audit.rules é gerado novamente antes de (re) iniciar o serviço de auditoria.

    
por 22.05.2017 / 01:11