10.9. Uso de augenrules para definir reglas persistentes
El script augenrules
lee las reglas ubicadas en el directorio /etc/audit/rules.d/
y las compila en un archivo audit.rules
. Este script procesa todos los archivos que terminan en .rules
en un orden específico basado en su orden natural de clasificación. Los archivos de este directorio están organizados en grupos con los siguientes significados:
- 10 - Configuración del kernel y auditctl
- 20 - Reglas que podrían coincidir con las reglas generales pero que usted quiere que coincidan de otra manera
- 30 - Normas principales
- 40 - Normas opcionales
- 50 - Reglas específicas del servidor
- 70 - Normas locales del sistema
- 90 - Finalizar (inmutable)
Las normas no están pensadas para ser utilizadas todas a la vez. Son piezas de una política que deben ser pensadas y copiadas individualmente en /etc/audit/rules.d/
. Por ejemplo, para establecer un sistema en la configuración STIG, copie las reglas 10-base-config
, 30-stig
, 31-privileged
, y 99-finalize
.
Una vez que tenga las reglas en el directorio /etc/audit/rules.d/
, cárguelas ejecutando el script augenrules
con la directiva --load
:
# augenrules --load
/sbin/augenrules: No change
No rules
enabled 1
failure 1
pid 742
rate_limit 0
...
Recursos adicionales
-
Para más información sobre las reglas de auditoría y el script
augenrules
, consulte las páginas de manualaudit.rules(8)
yaugenrules(8)
.