Gestione del demone di audit (auditd
)
A partire dalla prima versione basata su Fedora 39, Fedora CoreOS include il demone di audit (auditd
) per caricare e gestire le regole di audit.
Come tutti i demoni di sistema su Fedora CoreOS, il demone di audit è gestito da systemd ma con un’eccezione: non può essere arrestato o riavviato tramite systemctl stop auditd
o systemctl restart auditd
per motivi di conformità.
"La ragione di questa gestione insolita delle richieste di riavvio/arresto è che auditd viene trattato in modo speciale dal kernel: le credenziali di un processo che invia un segnale di uccisione a auditd vengono salvate nel registro di audit. Gli sviluppatori di audit non vogliono vedere le credenziali del PID 1 registrate lì. Vogliono vedere l’UID di accesso dell’utente che ha avviato l’azione."
Per arrestare e riavviare il demone di controllo, è necessario utilizzare i seguenti comandi:
$ sudo auditctl --segnale di arresto
$ sudo systemctl start auditd.service # Solo se vuoi che venga riavviato
Puoi anche utilizzare i seguenti comandi per ricaricare le regole, ruotare i log, riprendere la registrazione o scaricare lo stato del demone:
$ sudo auditctl --signal reload
$ sudo auditctl --signal rotate
$ sudo auditctl --signal resume
$ sudo auditctl --signal state
Vedi auditctl(8) e https://man7.org/linux/man-pages/man8/auditd.8.html [auditd(8)] per maggiori dettagli su questi comandi.
Want to help? Learn how to contribute to Fedora Docs ›