Gerenciando o daemon de auditoria (auditd)

Começando com a primeira versão baseada no Fedora 39, o Fedora CoreOS inclui o daemon de auditoria (auditd) para carregar e gerenciar regras de auditoria.

Como todos os daemons de sistema no Fedora CoreOS, o daemon de auditoria é gerenciado pelo systemd, mas com uma exceção: ele não pode ser interrompido ou reiniciado via systemctl stop auditd ou systemctl restart auditd por motivos de conformidade.

Em Não é possível reiniciar/parar o serviço auditd usando o comando systemctl no RHEL:

"A razão para esse tratamento incomum de solicitações de reinicialização/parada é que o auditd é tratado especialmente pelo kernel: as credenciais de um processo que envia um sinal de eliminação para o auditd são salvas no log de auditoria. Os desenvolvedores de auditoria não querem ver as credenciais do PID 1 registradas lá. Eles querem ver o UID de login do usuário que iniciou a ação."

Para parar e reiniciar o daemon de auditoria, você deve usar os seguintes comandos:

$ sudo auditctl --signal stop
$ sudo systemctl start  # Somente se você quiser ele reiniciado novamente

Você também pode usar os seguintes comandos para recarregar as regras, rotacionar os logs, retomar o registro ou despejar o estado do daemon:

$ sudo auditctl --signal reload
$ sudo auditctl --signal rotate
$ sudo auditctl --signal resume
$ sudo auditctl --signal state

Consulte auditctl(8) e auditd(8) para mais detalhes sobre esses comandos.

Want to help? Learn how to contribute to Fedora Docs