Centos 6.5 audd не запускается при запуске службы или /etc/init.d/audit
Потерпеть поражение:
# service auditd start
Starting auditd: [FAILED]
Потерпеть поражение:
# /etc/init.d/auditd start
Starting auditd: [FAILED]
И досадно - работает
# bash /etc/init.d/auditd start
Starting auditd: [ OK ]
Я добавил что-то вроде echo 1 echo 2 в различные места в bash /etc/init.d/auditd, так что посмотрим, по какому пути пойдет скрипт, но безрезультатно.
Команда, которая в конечном итоге запускается и терпит неудачу,
env -i PATH=/sbin:/usr/sbin:/bin:/usr/bin TERM=xterm /etc/init.d/auditd start
Почему добавление bash заставляет его работать? Ищете идеи для устранения неполадок.
Основываясь на предложении Майклса использовать run_init, я мог бы получить значимую отладку из bash:
# run_init bash -x /etc/init.d/auditd start
[...]
+ /bin/bash -c 'ulimit -S -c 0 >/dev/null 2>&1 ; auditd '
+ '[' 6 -eq 0 ']'
+ failure 'auditd startup'
В / var / log / messages у меня есть
Dec 8 14:54:06 aws-sonar-01 kernel: type=1100 audit(1418050446.762:250): user pid=7196 uid=0 auid=500 ses=6 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication acct="user" exe="/usr/sbin/run_init" hostname=? addr=? terminal=pts/0 res=success'
Dec 8 14:54:06 aws-sonar-01 kernel: type=1101 audit(1418050446.777:251): user pid=7196 uid=0 auid=500 ses=6 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting acct="user" exe="/usr/sbin/run_init" hostname=? addr=? terminal=pts/0 res=success'
Dec 8 14:54:06 aws-sonar-01 kernel: type=1400 audit(1418050446.795:252): avc: denied { read } for pid=7200 comm="auditd" name="audit" dev=xvda1 ino=393285 scontext=system_u:system_r:auditd_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=lnk_file
Dec 8 14:54:06 aws-sonar-01 kernel: type=1300 audit(1418050446.795:252): arch=c000003e syscall=2 success=no exit=-13 a0=7fa0660a42a0 a1=90800 a2=4000 a3=19 items=0 ppid=7196 pid=7200 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=6 comm="auditd" exe="/sbin/auditd" subj=system_u:system_r:auditd_t:s0 key=(null)
Dec 8 14:54:06 aws-sonar-01 auditd: Could not open dir /var/log/audit (Permission denied)
Dec 8 14:54:06 aws-sonar-01 auditd: The audit daemon is exiting.
Я попытался создать политику, используя выше в качестве ввода
cat messages_above | grep awc | audit2allow -M audit
semodule -i audit.pp
Были ли попытки создания политики selinux - это правильно? Или чего-то не хватает?
semanage permissive -a auditd_t
service auditd start
tail -n 20 messages |grep auditd | audit2allow -M auditd
semodule -i auditd.pp
semanage permissive -d auditd_t
Все та же проблема
3 ответа
На EL (до 7) запускайте службы в системе с поддержкой SELinux с run_init чтобы убедиться, что контексты SELinux и доменные переходы верны.
run_init service auditd start
Или просто включите их во время загрузки, что является предпочтительным.
Ваши записи журнала указывают, что /var/log/audit имеет неверный контекст безопасности. Чтобы решить это:
- Обновите вашу систему. Есть новые пакеты политик SELinux, которые содержат множество исправлений, а также другие обновления, за которыми вы находитесь.
- Бежать
restorecon -r -v /var/log/auditчтобы исправить контексты безопасности, или лучше,restorecon -r -v /перемаркировать всю систему (что также устраняет множество других потенциальных проблем).
- неверные параметры в
/etc/init.d/auditd.confприведет к сбою - тип
ausearch -m DEAMON_ENDчтобы узнать, какая строка содержит ошибку
Проверьте разрешения для каталога /var/log/audit. В некоторых дистрибутивах они выглядят следующим образом:
0 drw-------. 2 root root 29 Apr 21 13:19 audit
Обратите внимание, что каталог не является исполняемым! Просто
sudo chmod u+x /var/log/ аудит
Исправил эту проблему для меня