Por acaso, kauditd
! = auditd
e auditd
é o serviço que o SELinux usa para fazer o login.
Quando systemctl start auditd
falhar, você poderá procurar em /var/log/messages
. No meu caso, descobri que /var/log/audit/audit.log
(um arquivo que eu removi e touch
ed) precisa ter 0600
de permissões (acho que ele disse 0640
também estava OK).
Fazendo isso:
# chmod 600 /var/log/audit/audit.log
# systemctl start auditd
Registro ativado novamente