Нужна помощь по утилите auditd

[Hyper-SA]

Нужна ваша помощь.

ОС: Linux 4.9.0-6-amd64 #1 SMP Debian 4.9.88-1 (2018-04-29) x86_64 GNU/Linux

Помогите пожалуйста разобраться:
Создаю правило # auditctl -w /etc/shadow -p wa
Данное правило помещается в фаил: audit.rules.prev
вместо: /etc/audit/audit.rules почему это происходит и как исправить.

ls -la /etc/audit/
итого 40
drwxr-x---   3 root root  4096 Май 26 10:49 .
drwxr-xr-x 131 root root 12288 Май 27 14:10 ..
-rw-r-----   1 root root   784 Апр 12  2017 auditd.conf
-rw-r-----   1 root root   103 Май 26 10:49 audit.rules
-rw-r-----   1 root root   103 Май 25 15:49 audit.rules~
-rw-r-----   1 root root   102 Май 26 10:49 audit.rules.prev
-rw-r-----   1 root root   127 Апр 12  2017 audit-stop.rules
drwxr-x---   2 root root  4096 Май 25 15:49 rules.d

Пробовал удалить:
-rw-r-----   1 root root   103 Май 25 15:49 audit.rules~
-rw-r-----   1 root root   102 Май 26 10:49 audit.rules.prev
После команды: service auditd restart
файлы возвращаются на место и правила находятся в
-rw-r-----   1 root root   102 Май 26 10:49 audit.rules.prev

Руками вносил правила в audit.rules после restart они удаляются из файла audit.rules
Деинсталировал полностью auditd

Почистил систему:
Выполнил команду:
# dpkg -l | awk '/^rc/ { print $2 }'
Перезагрузился, установил по новому
$ sudo apt-get install auditd
все как и было прежде... правила по прежнему
создаются в папке: audit.rules.prev
Что я делаю не так...
Пробовал найти инфо про папку audit.rules.prev в офф.man не нашел.

[qupl]

Код Выделить Развернуть

cat /etc/audit/audit.rules
auditctl -w /etc/shadow -p wa
service auditd restart
cat /etc/audit/audit.rules


[Hyper-SA]

cat /etc/audit/audit.rules
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
--backlog_wait_time 0
===============================================
sudo auditctl -w /etc/shadow -p wa
sudo service auditd restart
sudo cat /etc/audit/audit.rules
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
--backlog_wait_time 0
===============================================
sudo ls -la /etc/audit/
итого 36
drwxr-x---   3 root root  4096 июн  8 11:10 .
drwxr-xr-x 131 root root 12288 июн  8 11:10 ..
-rw-r-----   1 root root   784 апр 12  2017 auditd.conf
-rw-r-----   1 root root   103 июн  8 11:10 audit.rules
-rw-r-----   1 root root   103 май 27 18:36 audit.rules~
-rw-r-----   1 root root   127 апр 12  2017 audit-stop.rules
drwxr-x---   2 root root  4096 июн  8 11:10 rules.d
===============================================
sudo cat /etc/audit/rules.d/audit.rules
## First rule - delete all
-D

## Increase the buffers to survive stress events.
## Make this bigger for busy systems
-b 8192

## This determine how long to wait in burst of events
--backlog_wait_time 0

## Set failure mode to syslog
-f 1
============================================
sudo cat /etc/audit/audit.rules
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
--backlog_wait_time 0
=============================================
sudo cat /etc/audit/audit.rules~
## This file is automatically generated from /etc/audit/rules.d
-D
-b 8192
-f 1
--backlog_wait_time 0
=============================================

[qupl]

Как я понял, чтобы добавить правило, нужно ключ -a использовать у auditctl

[Hyper-SA]

auditctl -a /etc/shadow -p wa
Append rule - bad keyword /etc/shadow
=================================
auditctl -A /etc/shadow -p wa
Add rule - bad keyword /etc/shadow
=================================
Не как не хочет...

[qupl]

Не как не хочет...

Так Вы почитайте man, а не просто меняйте один ключ на другой. Там параметры у -a не простые, пара значений.  Либо, если знаете формат, вручную задайте в конфиге. Там даже в примерах в конце есть с /etc/shadow