Mengelola daemon audit (auditd)

Mulai dari rilis pertama yang berbasis Fedora 39, Fedora CoreOS menyertakan daemon audit (auditd) untuk memuat dan mengelola aturan audit.

Seperti semua daemon sistem di Fedora CoreOS, daemon audit dikelola oleh systemd namun dengan pengecualian: daemon ini tidak dapat dihentikan atau dimulai ulang melalui systemctl stop auditd atau systemctl restart auditd karena alasan kepatuhan.

Dari Tidak dapat memulai ulang/menghentikan layanan auditd menggunakan perintah systemctl di RHEL:

"Alasan untuk penanganan yang tidak biasa terhadap permintaan restart/stop ini adalah karena auditd diperlakukan secara khusus oleh kernel: kredensial dari proses yang mengirim sinyal penghentian ke auditd disimpan dalam log audit. Para pengembang audit tidak ingin melihat kredensial dari PID 1 tercatat di sana. Mereka ingin melihat UID login dari pengguna yang memulai tindakan tersebut."

Untuk menghentikan dan memulai ulang daemon audit, Anda harus menggunakan perintah berikut:

$ sudo auditctl --signal stop
$ sudo systemctl start auditd.service  # Hanya jika Anda ingin memulainya kembali

Anda juga dapat menggunakan perintah berikut untuk memuat ulang aturan, memutar log, melanjutkan pencatatan, atau menampilkan status daemon:

$ sudo auditctl --signal reload
$ sudo auditctl --signal rotate
$ sudo auditctl --signal resume
$ sudo auditctl --signal state

Lihat auditctl(8) dan auditd(8) untuk detail lebih lanjut tentang perintah-perintah tersebut.

Want to help? Learn how to contribute to Fedora Docs