73.8.2. Установка постоянных правил в файле /etc/audit/audit.rules
Чтобы определить правила аудита, сохраняющиеся при перезагрузках, необходимо либо напрямую включить их в файл /etc/audit/audit.rules
, либо использовать программу augenrules
, которая считывает правила, расположенные в каталоге /etc/audit/rules.d/
.
Скрипт augenrules
считывает правила, расположенные в каталоге /etc/audit/rules.d/
, и компилирует их в файл /etc/audit/audit.rules
. Этот скрипт обрабатывает файлы *.rules
, в определенном порядке, основанном на их естественном порядке сортировки.
Во время старта служба
auditd
читает файл
/etc/audit/audit.rules
, который содержит правила аудита в формате
auditctl
. Пустые строки и текст после знака решетки (#) игнорируются. В файл записываются правила без имени команды. Например:
-w /etc/passwd -p wa
Команду
auditctl
также можно использовать для чтения правил из указанного файла с помощью опции
-R
, например:
# auditctl -R /home/user/audit/rules/30-net.rules
Файл
/etc/audit/audit.rules
может содержать только следующие правила контроля, изменяющие поведение системы аудита:
-b
,
-D
,
-e
,
-f
,
-r
,
--loginuid-immutable
и
--backlog_wait_time
. Например:
# Удалить все предыдущие правила
-D
# Установить размер буфера
-b 8192
# Защитить конфигурацию аудита от изменений
-e 2
Правила файловой системы и системных вызовов определяются в файле
/etc/audit/audit.rules
с использованием синтаксиса
auditctl
. Например:
-w /etc/shadow -p wa
-w /sbin/modprobe -p x -k modules
-a always,exit -S openat -F auid=510
Чтобы загрузить правила из каталога
/etc/audit/rules.d/
следует запустить команду
augenrules
с параметром
--load
:
# augenrules --load
Эти правила также будут загружены при запуске службы
auditd
.