Tenho o Amazon Linux 2023 em execução em um contêiner Docker e gostaria de poder carregar algumas regras de auditoria personalizadas no kernel e garantir que elas persistam quando o contêiner for reiniciado. Eu adicionei as regras /etc/audit/rules.d/audit.rulese posso vê-las quando coloco catesse arquivo e estou tentando usá-lo augenrules --loadpara carregar as regras. No entanto, quando executo este comando, a saída que recebo é
/usr/sbin/augenrules: No change
You must be root to run this program.
Recebo essa mesma resposta mesmo ao executar o comando com sudo( sudo augenrules --load). Já estou logado como root ( whoamiretorna root).
Eu me perguntei se poderia ser porque auditdo serviço não foi iniciado (nesse caso, a saída de augenrulesé enganosa), mas não consigo verificar o status deste serviço como service auditd status(e qualquer outro comando de serviço como service auditd start) o comando me fornece
Redirecting to /bin/systemctl status auditd.service
System has not been booted with systemd as init system (PID 1). Can't operate.
Failed to connect to bus: Host is down
ps -p1indica que o PID 1 é bash
PID TTY TIME CMD
1 pts/0 00:00:00 bash
Presumo que seja porque estou executando em um contêiner, mas não sei se é por isso que augenrulesme recuso a executar quando sou o usuário root, mesmo quando uso using sudo.
O que está causando esse comportamento?