10.9. Usando as regras de augenrices para definir regras persistentes
O script augenrules lê regras localizadas no diretório /etc/audit/rules.d/ e as compila em um arquivo audit.rules. Este script processa todos os arquivos que terminam com .rules em uma ordem específica com base em sua ordem natural de classificação. Os arquivos neste diretório estão organizados em grupos com os seguintes significados:
- 10 - Configuração do kernel e auditctl
- 20 - Regras que poderiam corresponder às regras gerais, mas você quer uma correspondência diferente
- 30 - Principais regras
- 40 - Regras opcionais
- 50 - Regras específicas do servidor
- 70 - Regras locais do sistema
- 90 - Finalizar (imutável)
As regras não devem ser usadas de uma só vez. Elas são partes de uma política que deve ser pensada e arquivos individuais copiados para /etc/audit/rules.d/. Por exemplo, para configurar um sistema na configuração STIG, copiar as regras 10-base-config, 30-stig, 31-privileged, e 99-finalize.
Uma vez que você tenha as regras no diretório /etc/audit/rules.d/, carregue-as executando o script augenrules com a diretiva --load:
# augenrules --load
/sbin/augenrules: No change
No rules
enabled 1
failure 1
pid 742
rate_limit 0
...Recursos adicionais
-
Para mais informações sobre as regras de Auditoria e o roteiro
augenrules, consulte as páginas de manualaudit.rules(8)eaugenrules(8).
