Ejemplos Reglas

Reglas de Sistema de Archivos

1. Para definir una regla que registra los accesos de escritura y cualquier cambio de atributos del archivo: /etc/passwd.

   auditctl -w /etc/passwd -p wa -k passwd_changes
   

2. Para definir una regla que registra los accesos de escritura y cualquier cambio de atributos adentro del directorio: /etc/selinux/.

   auditctl -w /etc/selinux/ -p wa -k selinux_changes
   

Reglas de Llamadas de Sistema

1. Si desea obtener información acerca de las llamadas a sistema, puede instalar el siguiente manual. No es recomendado en un entorno de producción, si no es necesario.

   dnf install man-pages
   mandb
   man 2 syscalls
   

2. Para definir una regla que registra cada vez que un programa hace un llamado de sistema adjtimex o settimeofday y la arquitectura del programa que lo invoca es de 64 bits.

   auditctl -a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time_change
   

3. Para definir una regla que registra cada vez que un archivo es eliminado or renombrado por un usuario del sistema en que su id de usuario es 1000 o superior.

   auditctl -a always,exit -S unlink -S unlinkat -S rename -S renameat -F auid>=1000 -F auid!=4294967295 -k delete
   

   NOTA: La opción auid!=4294967295 es utilizada para excluir los usuario que no tienen login UID definido.

Reglas de binarios ejecutables

1. Para definir una regla que registra la ejecución del programa: /bin/id.

   auditctl -a always,exit -F exe=/bin/id -F arch=b64 -S execve -k execution_bin_id