AUDITD(8) Utilitare de administrare a sistemului AUDITD(8) NUME auditd - demonul de audit Linux SINOPSIS auditd [-f] [-l] [-n] [-s disable|enable|nochange] [-c ] DESCRIERE auditd este componenta spaiului utilizatorului pentru sistemul de audit Linux. Este responsabila pentru scrierea inregistrarilor de audit pe disc. Vizualizarea jurnalelor se face cu utilitarele ausearch sau aureport. Configurarea sistemului de audit sau incarcarea regulilor se face cu utilitarul auditctl. In timpul pornirii, regulile din /etc/audit/audit.rules sunt citite de auditctl i incarcate in nucleu. Alternativ, exista i un program augenrules care citete regulile situate in /etc/audit/rules.d/ i le compileaza intr-un fiier audit.rules. Demonul de audit in sine are cateva opiuni de configurare pe care administratorul le poate personaliza. Acestea se gasesc in fiierul auditd.conf. OPIUNI -f lasa demonul de audit in prim-plan pentru depanare. Mesajele sunt trimise catre ieirea de eroare standard, nu catre jurnalul de audit. -l permite demonului de audit sa urmareasca legaturile simbolice pentru fiierele de configurare. -n fara bifurcare. Acest lucru este util pentru rularea din inittab sau systemd. -s=STAREA_ACTIVA specifica la pornire daca auditd trebuie sa modifice valoarea curenta pentru fanionul activat al nucleului. Valorile valide pentru STAREA_ACTIVA sunt ,,disable", ,,enable" sau ,,nochange". Valoarea implicita este activare (i dezactivare la terminarea auditd). Valoarea fanionului activat poate fi modificata in timpul duratei de viaa a auditd folosind ,,auditctl -e". -c specifica directorul alternativ pentru fiierul de configurare. Reinei ca acelai director va fi transmis dispecerului. (implicit: /etc/audit/) SEMNALE SIGHUP determina reconfigurarea auditd. Aceasta inseamna ca auditd recitete fiierul de configurare. Daca nu exista erori de sintaxa, va continua sa implementeze modificarile solicitate. Daca reconfigurarea are succes, un eveniment DAEMON_CONFIG este inregistrat in jurnale. Daca nu are succes, gestionarea erorilor este controlata de parametrii space_left_action, admin_space_left_action, disk_full_action i disk_error_action din auditd.conf. SIGTERM a determinat auditd sa intrerupa procesarea evenimentelor de audit, sa scrie un eveniment de audit de oprire i sa iasa. SIGUSR1 determina auditd sa roteasca imediat jurnalele; va consulta max_log_file_action pentru a vedea daca trebuie sa pastreze jurnalele sau nu. SIGUSR2 determina auditd sa incerce sa reia inregistrarea i transmiterea evenimentelor catre modulele de extensie. Acest lucru este de obicei necesar dupa suspendarea inregistrarii sau dupa depairea capacitaii cozii interne. Oricare dintre aceste condiii depinde de parametrii de configurare aplicabili. SIGCONT determina auditd sa salveze un raport al starii interne in ,,/run/audit/auditd.state". CODURI DE IEIRE 1 Nu se poate regla prioritatea, demoniza, deschide audit netlink, scrie fiierul pid, porni modulele, rezolva numele mainii, stabili audit pid sau alte sarcini de iniializare. 2 Argumente de linie de comanda nevalide sau excesive 4 Demonul de audit nu are privilegii suficiente 6 Exista o eroare in fiierul de configurare. FIIERE /etc/audit/auditd.conf - fiier de configurare pentru demonul de audit /etc/audit/audit.rules - reguli de auditare care trebuie incarcate la pornire /etc/audit/rules.d/ - director care conine seturi individuale de reguli care vor fi compilate intr-un singur fiier de catre augenrules. /etc/audit/plugins.d/ - director care conine fiiere individuale de configurare a modulelor. /etc/audit/audit-stop.rules - aceste reguli sunt incarcate atunci cand demonul de audit se oprete. /run/audit/auditd.state - raport despre starea interna. NOTE Trebuie adaugat un parametru de pornire audit=1 pentru a se asigura ca toate procesele care ruleaza inainte de pornirea demonului de audit sunt marcate ca fiind auditate de catre nucleu. Daca nu se face acest lucru, cateva procese nu vor putea fi auditate corespunzator. Daemonul de audit poate primi evenimente de audit de la ali demoni de audit prin intermediul modulului audisp-remote. Daemonul de audit poate fi conectat cu tcp_wrappers pentru a controla ce maini se pot conecta. In acest caz, putei adauga o intrare in hosts.allow i hosts.deny. CONSULTAI I auditd.conf(5), auditd-plugins(5), ausearch(8), aureport(8), auditctl(8), augenrules(8), audit.rules(7). AUTOR Steve Grubb TRADUCERE Traducerea in limba romana a acestui manual a fost facuta de Remus- Gabriel Chelu Aceasta traducere este documentaie gratuita; citii Licena publica generala GNU Versiunea 3 sau o versiune ulterioara cu privire la condiii privind drepturile de autor. NU se asuma NICIO RESPONSABILITATE. Daca gasii erori in traducerea acestui manual, va rugam sa trimitei un e-mail la . Red Hat septembrie 2021 AUDITD(8)