У меня на руках загадка. Один день /etc/rc5.d/S11auditd
стал /etc/rc5.d/K88auditd
и никто не несет за это ответственности. Похоже, это произошло само по себе, что маловероятно и требует небольшого расследования.
Предполагая, что установка Fedora 12 по умолчанию, каковы способы отслеживания действий, которые привели к auditd
убирается последовательность инициализации? Пока что проверил:
/var/log/messages
показывает, что однажды демон был правильно выключен при перезагрузке и больше не загружался.
/var/log/audit/audit.log
через ausearch
показывает в основном то же самое.
chkconfig | grep audit
показывает, что в настоящее время он отключен, но только на 5-м уровне запуска.
Я даже пробовал .bash_history
без везения.
last
также показывает, что никто не использовал ssh
для удаленного входа в систему.
Итак, что я пропустил? Где искать дополнительную информацию?
У меня была такая же проблема, и у меня есть возможное объяснение.
В моем случае я подозреваю, что это было вызвано readahead
пакет, который временно отключает auditd
во время загрузки, изменив rc.d
ссылки (см. /etc/init/readahead-disable-services.conf
). Предполагается, что их нужно изменить обратно в конце последовательности загрузки, но если вы прервете это (например, CtrlAltDel или отключение питания), тогда auditd
останется выключенным навсегда.
Это обсуждается в https://bugzilla.redhat.com/show_bug.cgi?id=729452.