auditd(8): где прячутся искоробчные правила?
Добрых суток, уважаемая рассылка.
Дебиан ГНУ/Линукс Джесси. При установленном auditd в /var/log/audit/audit.log из коробки пишется ценная по чьему-то там мнению информация, как то: все вызовы su, sudo и задач cron’а. Не то, чтобы оно мне сильно мешало, однако подумав это временно отключть, я обнаружил, что не понимаю, как это сделать:
,----
| # auditctl -l
| No rules
|
| # cat /etc/audit/audit.rules
| # This file contains the auditctl rules that are loaded
| # whenever the audit daemon is started via the initscripts.
| # The rules are simply the parameters that would be passed
| # to auditctl.
|
| # First rule - delete all
| -D
|
| # Increase the buffers to survive stress events.
| # Make this bigger for busy systems
| -b 320
|
| # Feel free to add below this line. See auditctl man page
`----
То есть этих правил как бы нигде нет, но они есть и от «# auditctl -D» не исчезают. По страницам auditd(8), audit.rules(7) и auditctl(8) глазами пробежал - там ничего про намертво вшитые умолчания не сказано. Как сие понимать?
Reply to: