Gestione del demone di audit (auditd)

A partire dalla prima versione basata su Fedora 39, Fedora CoreOS include il demone di audit (auditd) per caricare e gestire le regole di audit.

Come tutti i demoni di sistema su Fedora CoreOS, il demone di audit è gestito da systemd ma con un’eccezione: non può essere arrestato o riavviato tramite systemctl stop auditd o systemctl restart auditd per motivi di conformità.

"La ragione di questa gestione insolita delle richieste di riavvio/arresto è che auditd viene trattato in modo speciale dal kernel: le credenziali di un processo che invia un segnale di uccisione a auditd vengono salvate nel registro di audit. Gli sviluppatori di audit non vogliono vedere le credenziali del PID 1 registrate lì. Vogliono vedere l’UID di accesso dell’utente che ha avviato l’azione."

Per arrestare e riavviare il demone di controllo, è necessario utilizzare i seguenti comandi:

$ sudo auditctl --segnale di arresto
$ sudo systemctl start auditd.service # Solo se vuoi che venga riavviato

Puoi anche utilizzare i seguenti comandi per ricaricare le regole, ruotare i log, riprendere la registrazione o scaricare lo stato del demone:

$ sudo auditctl --signal reload
$ sudo auditctl --signal rotate
$ sudo auditctl --signal resume
$ sudo auditctl --signal state

Vedi auditctl(8) e https://man7.org/linux/man-pages/man8/auditd.8.html [auditd(8)] per maggiori dettagli su questi comandi.