Bug 58630

Версия пакета: altcenter-1.0-alt0.28

Шаги воспроизведения:
1) В Альт Центр перейти в режим эксперта и открыть раздел «Настройки журналов аудита»
2) Активировать чекбокс «Аудит изменений конфигурации journald», применить
3) Просмотреть правила auditctl:
# auditctl -l | grep journald

Ожидаемый результат: появились правила аудита изменений конфигурации journald (см. ниже)
В Альт Центр установлен чекбокс «Аудит изменений конфигурации journald»

Фактический результат: правило не появляется, чекбокс снят

Для создания правила проверяется наличие файла /etc/systemd/journald.conf:
journald_config_rule = self.hasAllExistingPaths(lines, [
            "/etc/systemd/journald.conf",
        ])

И в дальнейшем планируется отслеживание только этого файла ("/etc/systemd/journald.conf", "wa").

Но:
1) по умолчанию файл /etc/systemd/journald.conf отсутствует;
2) настройки journald могут находиться не только в этом файле, но и в любом файле в каталоге /etc/systemd/journald.conf.d
Например, настройки, выполненные в Альт Центр на вкладке «Настройки журналов» фиксируются в файле /etc/systemd/journald.conf.d/altcenter.conf  

Т.е. нужно отслеживать:
1) изменения в каталоге /etc/systemd/journald.conf.d
2) файл /etc/systemd/journald.conf, даже если при активации правила не существует, он же может быть в любой момент добавлен
3) под вопросом: стоит ли отслеживать /usr/lib/systemd/journald.conf и /usr/lib/systemd/journald.conf.d, ведь теоретически настройки можно изменить и там (а наша цель фиксировать все изменения или нет?)