管理审计工具 (auditd)

从基于 Fedora 39 的第一个版本开始,Fedora CoreOS 包含审计后台进程 (auditd),用于加载和管理审计规则。

与 Fedora CoreOS 上的所有系统守护进程一样,审计守护进程由 systemd 管理,但有一个例外:出于合规考虑,它不能通过 systemctl stop auditdsystemctl restart auditd 停止或重启。

来自 在 RHEL 中使用 systemctl 命令无法重新启动/停止 auditd 服务

"这种对重启/停止请求进行特殊处理的原因是,内核对 auditd 进行了特殊处理:向 auditd 发送kill信号的进程的凭据会被保存到审计日志中。审计开发人员不想看到 PID 1 的凭据被记录在审计日志中。他们希望看到的是发起该操作的用户的登录 UID。"

要停止和重启审计守护进程,应使用以下命令:

$ sudo auditctl --signal stop
$ sudo systemctl start  # 仅当你想让其重启

您还可以使用以下命令重新加载规则、轮换日志、恢复日志记录或转储守护进程状态:

$ sudo auditctl --signal reload
$ sudo auditctl --signal rotate
$ sudo auditctl --signal resume
$ sudo auditctl --signal state

有关这些命令的更多详情,请参阅 auditctl(8)auditd(8)

Want to help? Learn how to contribute to Fedora Docs