Назад | Перейти на главную страницу

Как правильно искать информацию об отключении auditd из init?

У меня на руках загадка. Один день /etc/rc5.d/S11auditd стал /etc/rc5.d/K88auditd и никто не несет за это ответственности. Похоже, это произошло само по себе, что маловероятно и требует небольшого расследования.

Предполагая, что установка Fedora 12 по умолчанию, каковы способы отслеживания действий, которые привели к auditd убирается последовательность инициализации? Пока что проверил:

/var/log/messages показывает, что однажды демон был правильно выключен при перезагрузке и больше не загружался.

/var/log/audit/audit.log через ausearch показывает в основном то же самое.

chkconfig | grep audit показывает, что в настоящее время он отключен, но только на 5-м уровне запуска.

Я даже пробовал .bash_history без везения.

last также показывает, что никто не использовал ssh для удаленного входа в систему.

Итак, что я пропустил? Где искать дополнительную информацию?

У меня была такая же проблема, и у меня есть возможное объяснение.

В моем случае я подозреваю, что это было вызвано readahead пакет, который временно отключает auditd во время загрузки, изменив rc.d ссылки (см. /etc/init/readahead-disable-services.conf). Предполагается, что их нужно изменить обратно в конце последовательности загрузки, но если вы прервете это (например, CtrlAltDel или отключение питания), тогда auditd останется выключенным навсегда.

Это обсуждается в https://bugzilla.redhat.com/show_bug.cgi?id=729452.