Недавно я попытался использовать auditd, чтобы узнать, что создает файлы tmp в ОС CentOS 5 x64. Я удалил правила:
# auditctl -l
No rules
но много записей в журналах auditd. Если я проверю журналы с помощью ssh:
# watch ls -la /var/log/audit/
auditd пишет 2кб / с. Если я проверю это с помощью samba - он меняет файл журнала размером 5 МБ каждую секунду. Если я проверю его через ssh и использую samba для открытия каталога - он будет записывать 1 МБ каждый раз, когда я открываю каталог. Я сравниваю это с моим сервером CentOS 6, который не записывает в журналы, пока я проверяю их через ssh. Он пишет только когда я вхожу / выхожу из системы через ssh.
Я не менял конфигурацию.
Обновить: после перезапуска сервера auditd больше не записывает столько данных. Еще что-то пишет, но не флудит. Вот что он сейчас пишет:
type=CRED_DISP msg=audit(1448603110.552:21): user pid=2708 uid=0 auid=0 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
type=USER_END msg=audit(1448603110.552:22): user pid=2708 uid=0 auid=0 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
А правил нет - auditctl -l ничего не показывает. Есть ли что-то еще, кроме правил, из-за которого auditd мог записывать в журналы?
Вы перезапускали службу auditd? /etc/init.d/auditd перезапуск или перезапуск службы auditd
Какие события создаются в файлах /var/log/audit/audit.log?