No RHEL5 e RHEL6, eu poderia adicionar audit=1para iniciar a auditoria no nível do kernel durante a inicialização antes que o processo de inicialização chegasse ao ponto de iniciar o auditd. Agora, no RHEL7, não consigo encontrar nenhuma menção audit=1como um argumento do kernel.
Alguém viu um documento definitivo sobre auditoria de kernel/sistema no momento da inicialização? Apenas ter o auditRPM instalado systemctl enable auditdé suficiente na reinicialização?
A documentação do RHEL 7.x sobre auditoria não menciona o parâmetro do kernel (de alguma forma, pensei que a documentação do RHEL 6.x o mencionasse, mas não consigo encontrá-lo agora).
A página de manual para
auditd(packageaudit-2.7.6-3.el7.x86_64) em um sistema RHEL 7.4, no entanto, tem o seguinte:Portanto, embora não seja mencionado na documentação da distribuição, você ainda precisa do
audit=1parâmetro do kernel.