A ferramenta de auditoria não está funcionando no Kernel versão 3.12.14

Isso significa que CONFIG_AUDITnão está definido em seu Kernel, e essa é uma tarefa que você não conseguirá sem alterar seu kernel ou pelo menos editar alguns parâmetros de inicialização.

Você vai precisar:

• Baixe um Kernel que tenha auditoria habilitada de seu provedor de distribuição ou compile seu Kernel com CONFIG_AUDIThabilitar se sua distribuição não fornecer tal kernel
• Se o seu Kernel for compilado com CONFIG_AUDITenable (veja abaixo), adicione o parâmetro do kernel audit=1- Veja GRUB Quiet Splash . Este é o arquivo que você precisa editar.
  • Note que este foi apenas um exemplo. Se você estiver usando outro bootloader que não seja o GRUB, você precisará pesquisar em seus documentos como adicionar Opções do Kernel à sua entrada padrão do Kernel ou a todas elas. Como exemplo, systemd-boottenha o options=parâmetro para fazer esta tarefa e habilite-o para uma entrada.

Como você pode verificar se o seu kernel atual tem esse recurso ativado:

Em distribuições baseadas em Red Hat e Debian, normalmente dentro /boothá um arquivo de configuração chamado config, com o uname -ranexo (versão do kernel). Exemplo:

[root@host ~]# grep CONFIG_AUDIT /boot/config-`uname -r`
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_WATCH=y
CONFIG_AUDIT_TREE=y

Em distribuições compiladas com a CONFIG_IKCONFIGopção, você pode obter uma versão compactada do arquivo de configuração atual dentro de sua /procestrutura de diretório virtual carregando o configsmódulo do kernel. Exemplo:

[root@host ~]# modprobe configs ; gunzip -dc /proc/config.gz | grep AUDIT
# CONFIG_AUDIT is not set
# CONFIG_AUDIT_ARCH_COMPAT_GENERIC is not set