linux audit notes

6.6

2.3.7

Добавлен bash-скрипт /usr/sbin/augenrules для объединения и загрузки правил аудита из каталога /etc/audit/rules.d/ по вилдкарду *.rules.
В RHEL 6.x скрипт augenrules задействован при выставлении параметра USE_AUGENRULES=yes в /etc/sysconfig/auditd.
В RHEL 7.x скрипт augenrules задействован по умолчанию в systemd-юните /usr/lib/systemd/system/auditd.service.

7.3

2.6.5

Метод сброса данных на диск INCREMENTAL_ASYNC;
Формат журналирования ENRICHED;
Поддержка поля exe= для слежения за системными вызовами указанной в поле программы;
Добавлен файл /etc/audit/audit-stop.rules с правилами полной остановки системы аудита;
Добавление закомментированного параметра ExecStopPost в auditd.service для применения audit-stop.rules после остановки демона auditd.

7.4

2.7.6

Поддержка типа события KERN_MODULE (загрузка/выгрузка модуля ядра), записываемого при наличии правил слежения за системными вызовами init_module(), finit_module(), delete_module();
Удобочитаемый вывод событий утилитой ausearch при использовании ключа --format [ text || csv ];
Сброс счётчика потерянных событий утилитой auditctl с ключом --reset-lost;
Поддержка опции --loginuid-immutable утилитой auditctl для полного запрета изменения /proc/*/loginuid после первичного присвоения;
Возможность задания опции "boot" для ключа --start при использовании утилит ausearch и aureport для обработки событий с момента загрузки ОС.

7.6

2.8.4

Поддержка типа записи SOFTWARE_UPDATE, генерируемого библиотекой librpm при установке или обновлении RPM-пакетов.

7.7

2.8.5

Возможность задания параметра space_left в виде процента свободного места на разделе с журналом событий.

7.8

2.8.5

В RHEL 7.8 бэкпортирован из RHEL 8 параметр ядра audit_backlog_limit, позволяющий задавать размер очереди событий при инициализации системы аудита. В RHEL ⇐ 7.7 размер очереди зашит в коде и равен 64 что приводит к потере событий при старте ОС из-за переполнения очереди событий.