Skip to content

Latest commit

 

History

History
38 lines (29 loc) · 4.08 KB

update-history.adoc

File metadata and controls

38 lines (29 loc) · 4.08 KB

linux audit notes

История обновлений

Памятка обновлений чтобы не путаться в доступном функционале системы аудита.

В таблице приведены только ключевые изменения, ссылки на полные changelog’и: audit-userspace 2.x (RHEL 6-7), audit-userspace 3.x (RHEL 8-9). Информация об обновлении audit при выпуске новой версии RHEL приводится в release notes, в разделе "Security".

Таблица 1. Краткий changelog
Версия RHEL Версия auditd Изменение

6.6

2.3.7

Добавлен bash-скрипт /usr/sbin/augenrules для объединения и загрузки правил аудита из каталога /etc/audit/rules.d/ по вилдкарду *.rules.
В RHEL 6.x скрипт augenrules задействован при выставлении параметра USE_AUGENRULES=yes в /etc/sysconfig/auditd.
В RHEL 7.x скрипт augenrules задействован по умолчанию в systemd-юните /usr/lib/systemd/system/auditd.service.

7.3

2.6.5

Метод сброса данных на диск INCREMENTAL_ASYNC;
Формат журналирования ENRICHED;
Поддержка поля exe= для слежения за системными вызовами указанной в поле программы;
Добавлен файл /etc/audit/audit-stop.rules с правилами полной остановки системы аудита;
Добавление закомментированного параметра ExecStopPost в auditd.service для применения audit-stop.rules после остановки демона auditd.

7.4

2.7.6

Поддержка типа события KERN_MODULE (загрузка/выгрузка модуля ядра), записываемого при наличии правил слежения за системными вызовами init_module(), finit_module(), delete_module();
Удобочитаемый вывод событий утилитой ausearch при использовании ключа --format [ text || csv ];
Сброс счётчика потерянных событий утилитой auditctl с ключом --reset-lost;
Поддержка опции --loginuid-immutable утилитой auditctl для полного запрета изменения /proc/*/loginuid после первичного присвоения;
Возможность задания опции "boot" для ключа --start при использовании утилит ausearch и aureport для обработки событий с момента загрузки ОС.

7.6

2.8.4

Поддержка типа записи SOFTWARE_UPDATE, генерируемого библиотекой librpm при установке или обновлении RPM-пакетов.

7.7

2.8.5

Возможность задания параметра space_left в виде процента свободного места на разделе с журналом событий.

7.8

2.8.5

В RHEL 7.8 бэкпортирован из RHEL 8 параметр ядра audit_backlog_limit, позволяющий задавать размер очереди событий при инициализации системы аудита. В RHEL ⇐ 7.7 размер очереди зашит в коде и равен 64 что приводит к потере событий при старте ОС из-за переполнения очереди событий.