linux audit notes

Конфигурация фреймворка

Для полного списка см. man auditctl.

Параметр Аргумент Описание

Параметр	Аргумент	Описание
`-D`	`-`	Очистить все правила аудита во фреймворке. Разместить перед всеми правилами.
`-b`	> 0	Размер очереди событий. Под одно событие аудита отводится до 8970 байт оперативной памяти. При размере очереди в 8192 события, под очередь может быть зарезервировано до ~70 МБ RAM. При переполнении очереди выполняется действие по ключу `-f`.
`-r`	>= 0	Ограничение скорости записи в очередь в виде количества событий в секунду. 0 - без ограничения. При превышении скорости выполняется действие по ключу `-f`.
`-f`	0\|1\|2	Действие, выполняемое при обнаружении проблем, мешающих нормальному функционированию системы аудита: 0 - не предпринимать никаких действий; 1 - сообщить о проблеме в kmsg (KERN_ERR); 2 - вызвать kernel panic.
`-i`	-	По умолчанию, auditctl прерывает загрузку правил при обнаружении ошибки в правилах аудита (несуществующий путь к программе, неизвестный UID и т.д.), возвращая ошибку. Данный ключ позволяет продолжить загрузку правил аудита при обнаружении ошибки. Код возврата - успех.
`-c`	-	Данный ключ позволяет продолжить загрузку правил аудита при обнаружении ошибки. Код возврата - ошибка.
`--loginuid-immutable`	-	Не позволять процессам изменять loginuid. Не использовать, если требуется запуск приложений login/sshd внутри контейнеров.
`--reset-lost`	-	Сбросить счётчик потерянных событий.
`-e`	0\|1\|2	Режим работы фреймворка: 0 - выключена; 1 - включена; 2 - включена, изменение правил аудита возможно только после перезагрузки системы. Разместить после всех правил аудита.

-D

-

Очистить все правила аудита во фреймворке.

Разместить перед всеми правилами.

-b

> 0

Размер очереди событий. Под одно событие аудита отводится до 8970 байт оперативной памяти. При размере очереди в 8192 события, под очередь может быть зарезервировано до ~70 МБ RAM.

При переполнении очереди выполняется действие по ключу -f.

-r

>= 0

Ограничение скорости записи в очередь в виде количества событий в секунду. 0 - без ограничения.

При превышении скорости выполняется действие по ключу -f.

-f

0|1|2

Действие, выполняемое при обнаружении проблем, мешающих нормальному функционированию системы аудита:

0 - не предпринимать никаких действий;
1 - сообщить о проблеме в kmsg (KERN_ERR);
2 - вызвать kernel panic.

-i

По умолчанию, auditctl прерывает загрузку правил при обнаружении ошибки в правилах аудита (несуществующий путь к программе, неизвестный UID и т.д.), возвращая ошибку.

Данный ключ позволяет продолжить загрузку правил аудита при обнаружении ошибки. Код возврата - успех.

-c

Данный ключ позволяет продолжить загрузку правил аудита при обнаружении ошибки. Код возврата - ошибка.

--loginuid-immutable

Не позволять процессам изменять loginuid.
Не использовать, если требуется запуск приложений login/sshd внутри контейнеров.

--reset-lost

Сбросить счётчик потерянных событий.

-e

0|1|2

Режим работы фреймворка:

0 - выключена;
1 - включена;
2 - включена, изменение правил аудита возможно только после перезагрузки системы.
Разместить после всех правил аудита.