Gestiona el demonio auditor (auditd)

Iniciando con la primera publicación basado en Fedora 39, Fedora CoreOS incluye el demonio auditor (auditd) para cargar y gestionar reglas de auditor.

Como todos los demonios del sistemas en Fedora CoreOS, el demonio audit es gestionado por systemd pero con una excepción: puede no ser detenido o reiniciado por medio de systemctl stop auditd o systemctl restart auditd por razones de conformidad.

Desde No es capaz de reiniciar/detener el servicio auditd utilizando comando systemctl en RHEL:

«La razón por esto manipulación inusual de solicitudes de reinicio/detener es ese auditd está tradado especialmente por el kernel: las credenciales de un proceso que envía una señal matar para auditd es guardada a la bitácora audit. Los desarrolladores de audit no quieren ver las credenciales de PID 1 de bitácora allí. Quieren ver el UID de acceso para el usuario quien inicializó la acción.»

Para detener y reiniciar el demonio auditor, usaría los comandos siguientes:

$ sudo auditctl --signal stop
$ sudo systemctl start auditd.service  # Solo si desea iniciarlo otra vez
bash

Además puede utilizar los comandos siguientes para recargar las reglas, rotar las bitácoras, continuar las bitácoras, o volcar el estado del demonio:

$ sudo auditctl --signal reload
$ sudo auditctl --signal rotate
$ sudo auditctl --signal resume
$ sudo auditctl --signal state
bash

Consulte auditctl(8) y auditd(8) para más detalles sobre estos comandos.

Want to help? Learn how to contribute to Fedora Docs