O Centos 6.5 auditd falha ao iniciar com o serviço ou /etc/init.d/audit start

5

Falha:

# service auditd start
Starting auditd:                                           [FAILED]

Falha:

# /etc/init.d/auditd start
Starting auditd:                                           [FAILED]

E frustantemente - funciona:

# bash /etc/init.d/auditd start
Starting auditd:                                           [  OK  ]

Eu adicionei algo como echo 1 echo 2 em vários lugares no bash /etc/init.d/auditd, então veja o caminho que o script leva, sem sucesso.

O comando que eventualmente é executado e falha é

env -i PATH=/sbin:/usr/sbin:/bin:/usr/bin TERM=xterm /etc/init.d/auditd start

Por que adicionar o bash faz funcionar? Procurando por ideias de solução de problemas.

Com base na sugestão do Michaels para usar o run_init, eu poderia obter algumas depurações significativas do bash:

# run_init bash -x /etc/init.d/auditd start
[...]
+ /bin/bash -c 'ulimit -S -c 0 >/dev/null 2>&1 ; auditd '
+ '[' 6 -eq 0 ']'
+ failure 'auditd startup'

Em / var / log / messages eu tenho

Dec  8 14:54:06 aws-sonar-01 kernel: type=1100 audit(1418050446.762:250): user pid=7196 uid=0 auid=500 ses=6 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:authentication acct="user" exe="/usr/sbin/run_init" hostname=? addr=? terminal=pts/0 res=success'
Dec  8 14:54:06 aws-sonar-01 kernel: type=1101 audit(1418050446.777:251): user pid=7196 uid=0 auid=500 ses=6 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:accounting acct="user" exe="/usr/sbin/run_init" hostname=? addr=? terminal=pts/0 res=success'
Dec  8 14:54:06 aws-sonar-01 kernel: type=1400 audit(1418050446.795:252): avc:  denied  { read } for  pid=7200 comm="auditd" name="audit" dev=xvda1 ino=393285 scontext=system_u:system_r:auditd_t:s0 tcontext=system_u:object_r:var_log_t:s0 tclass=lnk_file
Dec  8 14:54:06 aws-sonar-01 kernel: type=1300 audit(1418050446.795:252): arch=c000003e syscall=2 success=no exit=-13 a0=7fa0660a42a0 a1=90800 a2=4000 a3=19 items=0 ppid=7196 pid=7200 auid=500 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts0 ses=6 comm="auditd" exe="/sbin/auditd" subj=system_u:system_r:auditd_t:s0 key=(null)
Dec  8 14:54:06 aws-sonar-01 auditd: Could not open dir /var/log/audit (Permission denied)
Dec  8 14:54:06 aws-sonar-01 auditd: The audit daemon is exiting.

Eu tentei gerar uma política usando acima como entrada

cat messages_above | grep awc | audit2allow -M audit
semodule -i audit.pp

Experimentou a criação de políticas do selinux - isso está correto? Ou falta alguma coisa?

semanage permissive -a auditd_t
service auditd start
tail -n 20 messages  |grep auditd | audit2allow -M auditd
semodule -i auditd.pp
semanage permissive -d auditd_t

Ainda o mesmo problema

    
por Jepper 05.12.2014 / 12:58

3 respostas

3

No EL (antes de 7) inicie os serviços em um sistema habilitado para o SELinux com run_init para garantir que os contextos do SELinux e as transições de domínio estejam corretos.

run_init service auditd start

Ou apenas permita que eles iniciem no momento da inicialização, o que é o preferido.

Suas entradas de log indicam que /var/log/audit tem o contexto de segurança incorreto. Para resolver isso:

  1. Atualize seu sistema. Existem novos pacotes de políticas do SELinux que contêm muitas correções, assim como outras atualizações que você está fazendo.
  2. Execute restorecon -r -v /var/log/audit para corrigir os contextos de segurança, ou melhor, restorecon -r -v / para reclassificar todo o sistema (o que também corrige muitos outros possíveis problemas).
por 05.12.2014 / 17:04
1
  • opções inválidas em /etc/init.d/auditd.conf farão com que ele falhe
  • digite ausearch -m DEAMON_END para saber qual linha está com erro
por 10.01.2017 / 22:40
0

Verifique as permissões do diretório / var / log / audit. Em algumas distribuições, elas parecem ser as seguintes:

0 drw-------.  2 root root     29 Apr 21 13:19 audit

Observe que o diretório não é executável! Um simples

chmod sudo u + x / var / log / audit

Corrigido este problema para mim

    
por 21.04.2015 / 15:25