Como procurar corretamente uma informação sobre o facto de o auditd ter sido desligado do init?

1

Eu tenho um mistério em minhas mãos. Um dia, /etc/rc5.d/S11auditd tornou-se /etc/rc5.d/K88auditd e ninguém se responsabiliza por isso. Parece que aconteceu por si só, o que é dificilmente plausível e requer uma pequena investigação.

Assumindo a instalação padrão do Fedora 12, quais são as formas de rastrear ações que levaram a remoção de uma sequência de inicialização auditd ? Até agora eu verifiquei:

/var/log/messages mostra que uma vez o demônio foi desligado corretamente na inicialização e nunca foi carregado novamente.

/var/log/audit/audit.log via ausearch mostra basicamente a mesma coisa.

chkconfig | grep audit mostra que está desativado no momento, mas apenas no quinto nível de execução.

Eu até tentei .bash_history sem sorte.

last também mostra que ninguém usou ssh para fazer login remotamente.

Então, o que eu perdi? Onde procurar mais informações?

    
por akalenuk 09.12.2013 / 09:42

1 resposta

3

Acabei de ter o mesmo problema e tenho uma explicação possível.

No meu caso, suspeito que isso tenha sido causado pelo pacote readahead , que desativa temporariamente auditd durante a inicialização, alterando os links rc.d (consulte /etc/init/readahead-disable-services.conf ). Ele deve alterá-los de volta no final da seqüência de inicialização, mas se você interromper isso (por exemplo, CtrlAltDel ou um corte de energia), então auditd será permanentemente desativado.

Há alguma discussão sobre isso no link .

    
por 25.07.2014 / 18:57