AUDITCTL(8) Utilitare de administrare a sistemului AUDITCTL(8) NUME auditctl - un instrument care ajuta la controlul sistemului de audit al nucleului SINOPSIS auditctl [optiuni] DESCRIERE Programul auditctl este utilizat pentru a configura opiunile nucleului legate de audit, pentru a vedea starea configuraiei i pentru a incarca reguli de audit discreionare. OPIUNI DE CONFIGURARE -b jurnale-restante Stabilete numarul maxim (limita) de tampoane de audit restante permise (implicit in nucleu = 64). Daca toate tampoanele sunt pline, nucleul consulta fanionul de eroare pentru a lua masuri. --backlog_wait_time timp-ateptare Stabilete timpul de ateptare al nucleului (implicit 60*HZ) atunci cand se atinge limita de restane inainte de a pune in coada mai multe evenimente de audit pentru a fi transferate catre auditd. Numarul trebuie sa fie mai mare sau egal cu zero i mai mic de 10 ori valoarea implicita. --reset_backlog_wait_time_actual Reiniializeaza contorul timpului de ateptare actual al jurnalelor-restante afiat de comanda de stare. -c Continua incarcarea regulilor in ciuda unei erori. Aceasta rezuma rezultatele incarcarii regulilor. Codul de ieire nu va fi de succes daca vreuna dintre reguli nu se incarca. -D Sterge toate regulile si monitorizarile. Aceasta poate lua si o opiune cheie (-k). -e [0..2] Stabilete fanionul de activare. Cand 0 este trecut, acesta poate fi utilizat pentru a dezactiva temporar auditarea. Cand 1 este trecut ca argument, acesta va activa auditarea. Pentru a bloca configuraia de audit astfel incat sa nu poata fi modificata, trecei un 2 ca argument. Blocarea configuraiei este destinata sa fie ultima comanda din audit.rules pentru oricine dorete ca aceasta funcie sa fie activa. Orice incercare de modificare a configuraiei in acest mod va fi auditata i respinsa. Configuraia poate fi modificata numai prin repornirea mainii. -f [0..2] Stabilete modul de eec 0=silent 1=printk 2=panic. Aceasta opiune va permite sa determinai modul in care dorii ca nucleul sa gestioneze erorile critice. Exemple de condiii in care acest mod poate avea efect includ: erori de transmisie catre demonul de audit al spaiului utilizator, depairea limitei de restane, memorie insuficienta a nucleului i depairea limitei de viteza. Valoarea implicita este 1. Mediile securizate vor dori probabil sa stabileasca aceasta valoare la 2. -h, --help Ajutor -i Cand este specificata singura, ignora erorile la citirea regulilor dintr-un fiier. Acest lucru face ca auditctl sa returneze intotdeauna un cod de ieire de succes. Daca este trecut ca argument pentru -s, atunci ofera o interpretare a numerelor in cuvinte inteligibile pentru persoane, daca este posibil. --loginuid-immutable Aceasta opiune indica nucleului sa faca loginuid-urile nemodificabile odata ce au fost stabilite. Modificarea loginuid-urilor necesita CAP_AUDIT_CONTROL. Prin urmare, nu este ceva ce poate fi facut de utilizatori fara privilegii. Activarea acestei opiuni face loginuid-urile inviolabile, dar poate cauza unele probleme in anumite tipuri de containere. -q punct-montare,sub-arbore Daca avei un director existent supravegheat i legai sau mutai un alt sub-arbore in sub-arborele supravegheat, trebuie sa indicai nucleului sa faca sub-arborele montat echivalent cu directorul supravegheat. Daca sub-arborele este deja montat in momentul emiterii supravegherii directorului, sub-arborele este automat marcat pentru supraveghere. Va rugam sa reinei virgula care separa cele doua valori. Omiterea acesteia va provoca erori. -r frecvena Stabilete limita in mesaje/secunda (0=niciuna). Daca aceasta valoare frecvena este diferita de zero i este depaita, nucleul consulta fanionul de eroare pentru a lua masuri. Valoarea implicita este 0. --reset-lost Reiniializeaza contorul de inregistrari pierdute afiat de comanda de stare. -R fiier Citete i executa comenzile auditctl dintr-un fiier. Comenzile sunt executate linie cu linie, in ordinea in care apar in fiier. Fiierul trebuie sa aparina utilizatorului root i sa nu poata fi citit de ali utilizatori, altfel va fi respins. Liniile goale sunt omise. Liniile care incep cu caracterul ,,#" sunt tratate ca linii de comentarii. Fiecare linie este executata ca i cum ar fi fost furnizata lui auditctl ca argumente ale liniei de comanda. Deoarece auditctl este cel care citete fiierul i nu un shell precum bash, nu eludai caracterele speciale ale shell-ului. Consultai seciunea EXEMPLE pentru un exemplu. --signal semnal Trimite un semnal catre demonul de audit. Pentru a face acest lucru, trebuie sa avei privilegii root. Semnalele acceptate sunt TERM, HUP, USR1, USR2, CONT i versiunile uor de utilizat stop, reload, rotate, resume, state. -t Tunde sub-arborii dupa o comanda mount. OPIUNI DE STARE -l Listeaza toate regulile, cate una pe linie. Aceasta comanda poate avea inca doua opiuni. Putei specifica fie opiunea cheie (-k) pentru a lista regulile care corespund unei chei, fie opiunea (-i) pentru a interpreta a0 pana la a3, in scopul de a determina daca valorile argumentelor apelului de sistem sunt corecte. -m text Trimite un mesaj din spaiul utilizatorului in sistemul de audit. Acest lucru se poate face numai daca avei capacitatea CAP_AUDIT_WRITE (in mod normal, utilizatorul root are aceasta capacitate). Evenimentul rezultat va fi de tip USER. -s Raporteaza starea subsistemului de audit al nucleului. Acesta va va indica valorile din nucleu care pot fi stabilite prin opiunile -e, -f, -r i -b. Valoarea pid este numarul procesului demonului de audit. Reinei ca un pid de 0 indica faptul ca demonul de audit nu ruleaza. Intrarea pierduta va va indica cate inregistrari de evenimente au fost eliminate din cauza depairii capacitaii cozii de audit a nucleului. Campul backlog (de restane) indica cate inregistrari de evenimente sunt in prezent in coada, ateptand sa fie citite de auditd. Aceasta opiune poate fi urmata de -i pentru a obine interpretarea catorva campuri. -v Imprima versiunea lui auditctl. OPIUNI REGULI -a [list,action|action,list] Adauga regula la sfaritul list cu action. Reinei virgula care separa cele doua valori. Omiterea acesteia va cauza erori. Campurile pot fi in orice ordine. Poate fi lista, aciune sau aciune, lista. Urmatoarele descriu numele din list valide: task Adauga o regula la lista pentru fiecare sarcina. Aceasta lista de reguli este utilizata numai in momentul crearii unei sarcini -- cand fork() sau clone() sunt apelate de sarcina parinte. Cand utilizai aceasta lista, trebuie sa utilizai numai campuri care sunt cunoscute in momentul crearii sarcinii, cum ar fi uid, gid etc. exit Adauga o regula la lista de ieiri syscall. Aceasta lista este utilizata la ieirea dintr-un apel de sistem pentru a determina daca trebuie creat un eveniment de audit. user Adauga o regula la lista de filtre pentru mesajele utilizatorilor. Aceasta lista este utilizata de nucleu pentru a filtra evenimentele provenite din spaiul utilizatorului inainte de a le transmite catre demonul de audit. Trebuie menionat ca singurele campuri valide sunt: uid, auid, gid, pid, subj_user, subj_role, subj_type, subj_sen, subj_clr, msgtype i numele executabilului. Toate celelalte campuri vor fi tratate ca neconcordante. Trebuie ineles ca orice eveniment provenit din spaiul utilizatorului dintr-un proces care are CAP_AUDIT_WRITE va fi inregistrat in traseul de audit. Acest lucru inseamna ca cea mai probabila utilizare a acestui filtru este cu reguli care au o aciune de niciodata, deoarece nu trebuie facut nimic pentru a permite inregistrarea evenimentelor. exclude Adauga o regula la lista de filtre de excludere a tipurilor de evenimente. Aceasta lista este utilizata pentru a filtra evenimentele pe care nu dori sa le vedei. De exemplu, daca nu dorii sa vedei niciun mesaj avc, putei utiliza aceasta lista pentru a inregistra acest lucru. Evenimentele pot fi excluse in funcie de ID-ul procesului, ID-ul utilizatorului, ID-ul grupului, ID-ul utilizatorului conectat, tipul mesajului, contextul subiectului sau numele executabilului. Aciunea este ignorata i utilizeaza valoarea implicita ,,never". filesystem Adauga o regula care va fi aplicata intregului sistem de fiiere. Sistemul de fiiere trebuie identificat cu un camp fstype. In mod normal, acest filtru este utilizat pentru a exclude orice evenimente pentru un intreg sistem de fiiere, cum ar fi tracefs sau debugfs. io_uring Adaugai o regula la filtrul syscall io_uring. Regulile pentru acest filtru specifica operaia syscall utilizand noiunea -S syscall explicata mai jos. Putei adauga un camp cheie la regula, astfel incat aceasta sa poata fi grupata cu alte reguli care monitorizeaza acelai syscall subiacent. Urmatoarele descriu aciunile actions valide pentru regula: never Nu vor fi generate inregistrari de audit. Aceasta opiune poate fi utilizata pentru a suprima generarea evenimentelor. In general, este preferabil ca suprimarile sa se afle in partea de sus a listei, nu in partea de jos. Acest lucru se datoreaza faptului ca evenimentul se declaneaza la prima regula care se potrivete. always (intotdeauna) Aloca un context de audit, il completeaza intotdeauna la momentul intrarii in apelul de sistem i scrie intotdeauna o inregistrare la momentul ieirii din apelul de sistem. -A list,action Adauga regula la inceputul listei list cu aciunea action. -C [f=f | f!=f] Construiete o regula de comparare intre campuri: camp, operaie, camp. Putei transmite mai multe comparaii intr-o singura linie de comanda. Fiecare trebuie sa inceapa cu -C. Fiecare ecuaie intre campuri este combinata cu celelalte, precum i cu ecuaiile care incep cu -F, pentru a declana o inregistrare de audit. Sunt acceptate 2 operatori: egal i diferit. Campurile valide sunt: auid, uid, euid, suid, fsuid, obj_uid; and gid, egid, sgid, fsgid, obj_gid Cele doua grupuri de uid i gid nu pot fi amestecate. Dar se poate face orice comparaie in cadrul grupului. Campurile obj_uid/gid sunt colectate din obiectul evenimentului, cum ar fi un fiier sau un director. -d list,action terge regula din lista list cu aciunea action. Regula este tersa numai daca se potrivete exact cu numele apelului de sistem i cu fiecare nume i valoare de camp. -F [n=v | n!=v | nv | n<=v | n>=v | n&v | n&=v] Construiete un camp de regula: nume, operaie, valoare. Putei avea pana la 64 de campuri transmise intr-o singura linie de comanda. Fiecare trebuie sa inceapa cu -F. Fiecare ecuaie de camp este combinata cu celelalte (precum i ecuaiile care incep cu -C) pentru a declana o inregistrare de audit. Sunt acceptate 8 operatori - egal, inegal, mai mic decat, mai mare decat, mai mic sau egal i mai mare sau egal, masca de bii i test de bii. Testul de bii va combina valorile i va verifica daca sunt egale, iar masca de bii va combina doar valorile. Campurile care accepta un ID de utilizator pot avea in schimb numele utilizatorului; programul va converti numele in ID de utilizator. Acelai lucru este valabil i pentru numele de grup. Campurile valide sunt: a0, a1, a2, a3 Respectiv, primele 4 argumente ale unui apel de sistem. Reinei ca argumentele de tip ir nu sunt acceptate. Acest lucru se datoreaza faptului ca nucleului i se transmite un indicator catre ir. Este puin probabil ca declanarea pe o valoare de adresa a indicatorului sa funcioneze. Prin urmare, atunci cand utilizai aceasta funcie, ar trebui sa o utilizai numai pe valori numerice. Este foarte probabil ca aceasta sa fie utilizata pe platforme care multiplexeaza operaiuni de tip soclu sau IPC. arch Arhitectura CPU a apelului de sistem. Arhitectura poate fi gasita executand comanda <>. Daca nu cunoatei arhitectura mainii dvs., dar dorii sa utilizai tabelul de apeluri de sistem pe 32 de bii i maina dvs. accepta 32 de bii, putei utiliza i b32 pentru arhitectura. Acelai lucru se aplica i tabelului de apeluri de sistem pe 64 de bii, putei utiliza b64. In acest fel, putei scrie reguli care sunt oarecum independente de arhitectura, deoarece tipul de familie va fi detectat automat. Cu toate acestea, apelurile de sistem pot fi specifice arhitecturii i ceea ce este disponibil pe x86_64 poate sa nu fie disponibil pe ppc. Directiva arch trebuie sa precede opiunea ,,-S", astfel incat auditctl sa tie ce tabel intern sa utilizeze pentru a cauta numerele apelurilor de sistem. auid ID-ul original cu care s-a conectat utilizatorul. Este o abreviere de la audit uid. Uneori este denumit loginuid. Se poate utiliza fie textul contului de utilizator, fie numarul acestuia. devmajor Numarul major al dispozitivului devminor Numarul minor al dispozitivului dir Ruta completa a directorului de supravegheat. Aceasta va plasa o supraveghere recursiva asupra directorului i tuturor sub-arborilor acestuia. Poate fi utilizata numai pe lista de ieire. A se vedea ,,-w". egid ID-ul grupului efectiv. Poate fi numeric sau numele grupului. euid ID-ul utilizatorului efectiv. Poate fi numeric sau numele contului utilizatorului. exe Ruta absoluta catre aplicaia la care se va aplica aceasta regula in timpul executarii. Accepta operatorii = i !=. Reinei ca putei utiliza aceasta opiune o singura data pentru fiecare regula. exit Valoarea de ieire dintr-un apel de sistem. Daca codul de ieire este o errno, putei utiliza i reprezentarea text. fsgid ID-ul grupului sistemului de fiiere. Poate fi numeric sau numele grupului. fstype Tipul sistemului de fiiere. Acesta este utilizat impreuna cu lista de reguli ale sistemului de fiiere. Singurele valori acceptate sunt debugfs i tracefs. fsuid ID-ul utilizatorului sistemului de fiiere. Poate fi numeric sau numele contului utilizatorului. filetype Tipul fiierului inta. Poate fi file, dir, socket, link, character, block sau fifo. gid ID-ul grupului. Poate fi numeric sau numele grupului. inode Numarul nodului-i key Definete o cheie de filtrare pentru o regula de audit. Cheia de filtrare este un ir de text arbitrar care poate avea o lungime de pana la 31 de octei. Aceasta poate identifica in mod unic inregistrarile de audit generate de o regula. Utilizarea tipica este atunci cand avei mai multe reguli care impreuna satisfac o cerina de securitate. Valoarea cheii poate fi cautata cu ausearch, astfel incat, indiferent de regula care a declanat evenimentul, putei gasi rezultatele acestuia. Cheia poate fi utilizata i pentru tergerea tuturor (-D) i listarea regulilor (-l) pentru a selecta reguli cu o cheie specifica. Putei avea mai multe chei pe o regula daca dorii sa putei cauta evenimente inregistrate in mai multe moduri sau daca avei un plugin auditd care utilizeaza o cheie pentru a ajuta la analizare. msgtype Aceasta este utilizata pentru a corela tipul de inregistrare al evenimentului. Aceasta trebuie utilizata numai in listele de excludere sau de filtrare a utilizatorilor. obj_uid UID-ul obiectului obj_gid GID-ul obiectului obj_user Utilizatorul SE Linux al resursei obj_role Rolul SE Linux al resursei obj_type Tipul SE Linux al resursei obj_lev_low Nivelul inferior al resursei SE Linux obj_lev_high Nivelul superior al resursei SE Linux path Insereazaai o supraveghere pentru obiectul sistemului de fiiere la ruta. Nu putei insera o supraveghere in directorul de nivel superior. Acest lucru este interzis de nucleu. Caracterele joker nu sunt acceptate i vor genera un avertisment. Supravegherile funcioneaza prin urmarirea interna a nodului-i. Aceasta poate fi utilizata numai pe lista de ieire. perm Filtru de permisiuni pentru operaii cu fiiere. Furnizai tipul de acces pe care il va declana un sistem de monitorizare a fiierelor. r=citire, w=scriere, x=executare, a=modificare atribut. Aceste permisiuni nu sunt permisiunile standard pentru fiiere, ci mai degraba tipul de apel de sistem care ar face acest lucru. Apelurile de sistem de citire i scriere sunt omise din acest set, deoarece ar supraincarca jurnalele. In schimb, pentru citiri sau scrieri, se verifica fanioanele de deschidere pentru a vedea ce permisiune a fost solicitata. Campul perm poate fi utilizat numai in lista de ieire. Putei utiliza acest lucru fara a specifica un apel de sistem, iar nucleul va selecta apelurile de sistem care satisfac permisiunile de acces solicitate. Acest lucru necesita, de asemenea, furnizarea unui parametru arch inainte de campul perm. In acest fel, nucleul poate determina mai bine ce apeluri de sistem sunt necesare. Nefurnizarea unui parametru arch va avea ca rezultat supunerea apelurilor de sistem all la audit. Acest lucru va reduce performana sistemului. pers Numarul personalitaii sistemului de operare pid ID-ul procesului ppid ID-ul procesului parinte saddr_fam Numarul familiei de adrese se gasete in /usr/include/bits/socket.h. De exemplu, IPv4 va fi 2, iar IPv6 va fi 10. sessionid ID-ul sesiunii de conectare a utilizatorului subj_user Utilizator SE Linux al programului subj_role Rolul SE Linux al programului subj_type Tipul SE Linux al programului subj_sen Sensibilitatea SE Linux a programului subj_clr Autorizarea SE Linux a programului sgid ID-ul grupului salvat. Consultai pagina de manual getresgid(2). success Daca valoarea de ieire este >= 0, aceasta este true/yes, in caz contrar este false/no. Cand scriei o regula, utilizai 1 pentru true/yes i 0 pentru false/no. suid ID-ul utilizatorului salvat. Consultai pagina de manual getresuid(2). uid ID-ul utilizatorului. Poate fi numeric sau numele contului utilizatorului. -k cheie Definete o cheie de filtrare pentru o regula de audit. Aceasta este depreciata atunci cand este utilizata cu supravegheri. Convertete orice supravegheri in forma syscall a regulilor. Este inca valabila pentru utilizarea cu reguli de tergere sau listare. -p [r|w|x|a] Descrie tipul de acces la permisiuni pe care il va declana supravegherea sistemului de fiiere. Aceasta funcie este invechita. Convertii supravegherile in forma syscall. -S [Nume sau numar sysscall|all] Se poate utiliza oricare dintre numele sau numarul apelului de sistem. Se poate utiliza i cuvantul ,,all". Daca apelul de sistem dat este efectuat de un program, atunci incepe o inregistrare de audit. Daca este specificata o regula de camp i nu este specificat niciun apel de sistem, se va utiliza implicit toate apelurile de sistem. De asemenea, putei specifica mai multe apeluri de sistem in aceeai regula utilizand mai multe opiuni ,,-S" in aceeai regula. Acest lucru imbunataete performana, deoarece trebuie evaluate mai puine reguli. Alternativ, putei transmite o lista de nume de apeluri de sistem separate prin virgule. Daca utilizai un sistem bi-arch, cum ar fi x86_64, trebuie sa tii ca auditctl preia pur i simplu textul, il cauta pentru arhitectura nativa (in acest caz b64) i trimite regula respectiva catre nucleu. Daca nu exista directive arch suplimentare, ACEASTA SE VA APLICA ATAT SYSCALL-URILOR PE 32 DE BITI, CAT I CELOR PE 64 DE BITI. Acest lucru poate avea efecte nedorite, deoarece nu exista nicio garanie ca orice apel de sistem are acelai numar atat pe interfeele pe 32 de bii, cat i pe cele pe 64 de bii. Probabil vei dori sa controlai acest lucru i sa scriei doua reguli, una cu arhitectura egala cu b32 i una cu b64, pentru a va asigura ca nucleul gasete evenimentele pe care le dorii. Consultai discuia despre campul arhitectura pentru mai multe informaii. -w ruta Plaseaza o monitorizare pe ruta. Daca ruta este un fiier, este aproape la fel ca utilizarea opiunii ,,-F ruta" intr-o regula syscall. Daca monitorizarea este pe un director, este aproape la fel ca utilizarea opiunii ,,-F dir" intr-o regula syscall. Forma ,,-w" de scriere a supravegherilor este pentru compatibilitate cu versiunile anterioare i este depreciata din cauza performanei slabe a sistemului. Convertii supravegherile de aceasta forma in forma bazata pe apel de sistem. Singurele opiuni valide atunci cand utilizai o supraveghere sunt ,,-p" i ,,-k". -W ruta Elimina o supraveghere pentru obiectul sistemului de fiiere din ruta. Regula trebuie sa corespunda exact. Pentru mai multe informaii, consultai discuia de la opiunea -d. SFATURI PENTRU PERFORMANA Regulile syscall sunt evaluate pentru fiecare apel de sistem pentru fiecare program. Daca avei 10 reguli syscall, fiecare program din sistemul dvs. va intarzia in timpul unui apel de sistem, in timp ce sistemul de audit evalueaza fiecare regula. Prea multe reguli syscall vor afecta performana. Incercai sa combinai cat mai multe dintre ele ori de cate ori filtrul, aciunea, cheia i campurile sunt identice. De exemplu: auditctl -a always,exit -F arch=b64 -S openat -F success=0 auditctl -a always,exit -F arch=b64 -S truncate -F success=0 ar putea fi rescrisa ca o singura regula: auditctl -a always,exit -F arch=b64 -S openat -S truncate -F success=0 De asemenea, incercai sa utilizai auditarea sistemului de fiiere ori de cate ori este posibil. Acest lucru imbunataete performana. De exemplu, daca dorii sa capturai toate deschiderile i trunchierile euate, ca in exemplul de mai sus, dar va intereseaza doar fiierele din /etc i nu va intereseaza cele din /usr sau /sbin, putei utiliza aceasta regula: auditctl -a always,exit -F arch=b64 -S openat,truncate -F dir=/etc -F success=0 Aceasta va avea o performana mai buna, deoarece nucleul nu o va evalua la fiecare apel de sistem. Va fi gestionata de codul de audit al sistemului de fiiere i verificata numai la apelurile de sistem legate de sistemul de fiiere. EXEMPLE Pentru a vedea toate apelurile de sistem efectuate de un program specific: # Dupa pid: auditctl -a always,exit -S all -F pid=1005 # Dupa ruta executabilului auditctl -a always,exit -S all -F exe=/usr/bin/ls Pentru a vedea fiierele deschise de un anumit utilizator: auditctl -a always,exit -S openat -F auid=510 Pentru a vedea apelurile openat nereuite: auditctl -a always,exit -S openat -F success=0 Pentru a urmari modificarile unui fiier (2 moduri de exprimare): auditctl -w /etc/shadow -p wa # Reinei ca acest lucru incetinete sistemul. auditctl -a always,exit -F arch=b64 -F path=/etc/shadow -F perm=wa Pentru a monitoriza recursiv un director in cautarea modificarilor (2 moduri de exprimare): auditctl -w /etc/ -p wa # Reinei ca acest lucru incetinete sistemul. auditctl -a always,exit -F arch=b64 -F dir=/etc/ -F perm=wa Pentru a vedea daca un administrator acceseaza fiierele altor utilizatori: auditctl -a always,exit -F dir=/home/ -F uid=0 -C auid!=obj_uid Acesta este un exemplu de fiier cu reguli: # Elimina toate regulile existente -D # Nu inregistreaza niciodata invocarile sudo -A exclude,always -F exe=/usr/bin/sudo DEZACTIVAT IN MOD IMPLICIT Pe multe sisteme, auditd este configurat sa instaleze o regula -a never,sarcina in mod implicit. Aceasta regula face ca fiecare proces nou sa omita toate procesarile regulilor de audit. Acest lucru se face de obicei pentru a evita o mica suprasarcina de performana impusa de auditarea apelurilor de sistem. Daca dorii sa utilizai auditd, trebuie sa eliminai aceasta regula tergand 10-no-audit.rules i adaugand 10-base-config.rules in directorul regulilor de audit. Daca ai definit reguli de audit care nu se potrivesc atunci cand ar trebui, verificai <> pentru a va asigura ca nu exista nicio regula never,task acolo. FIIERE /etc/audit/audit.rules /etc/audit/audit-stop.rules CONSULTAI I audit.rules(7), ausearch(8), aureport(8), auditd(8). AUTOR Steve Grubb TRADUCERE Traducerea in limba romana a acestui manual a fost facuta de Remus- Gabriel Chelu Aceasta traducere este documentaie gratuita; citii Licena publica generala GNU Versiunea 3 sau o versiune ulterioara cu privire la condiii privind drepturile de autor. NU se asuma NICIO RESPONSABILITATE. Daca gasii erori in traducerea acestui manual, va rugam sa trimitei un e-mail la . Red Hat septembrie 2023 AUDITCTL(8)