LINUX.ORG.RU
ФорумAdmin

Auditd отказывается запускаться (Centos 6.4)


0

1

Доброго времени суток! Случайно обнаружилось, что демон auditd остановлен, запускаться тоже не запускается:

[root@hp-proliant]# service auditd start
Запускается auditd:                                        [СБОЙ ]

в логах: 

[root@hp-proliant]# tail /var/log/messages
Oct 25 10:42:40 hp-proliant auditd: Could not open dir /var/log/audit (Permission denied)
Oct 25 10:42:40 hp-proliant auditd: The audit daemon is exiting.
Oct 25 10:42:40 hp-proliant kernel: type=1400 audit(1382683360.103:21): avc:  denied  { dac_override } for  pid=14636 comm="auditd" capability=1  scontext=unconfined_u:system_r:auditd_t:s0 tcontext=unconfined_u:system_r:auditd_t:s0 tclass=capability
Oct 25 10:42:40 hp-proliant kernel: type=1400 audit(1382683360.103:22): avc:  denied  { dac_read_search } for  pid=14636 comm="auditd" capability=2  scontext=unconfined_u:system_r:auditd_t:s0 tcontext=unconfined_u:system_r:auditd_t:s0 tclass=capability

При этом права на директорию и сам файл лога такие: 

[root@hp-proliant]# ls -al /var/log/audit
итого 6160
drwxr-xr-x. 2 root root    4096 Июн 30 08:44 .
drw-------. 7 root root    4096 Окт 20 03:32 ..
-rw-------. 1 root root 6291519 Авг  2 03:42 audit.log

Подскажите, пожалуйста, куда копать?



Последнее исправление: Incher (всего исправлений: 1)
В каком конфиге меняется пароль к mysql
Кто-то подменяет /usr/sbin/sshd. Помогите отыскать концы

type=1400 audit(1382683360.103:21): avc: denied { dac_override } for pid=14636 comm=«auditd» capability=1 scontext=unconfined_u:system_r:auditd_t:s0 tcontext=unconfined_u:system_r:auditd_t:s0 tclass=capability

чего с селинуксом делал?

если включена обычная политика targeted, сделай

# touch /.autorelabel

и ребутнись — селинукс восстановит свои метки, если не поможет, то вот костыль — рабочие метки для /var/log/audit: system_u:object_r:auditd_log_t:s0

anonymous
()
Ответ на: комментарий от anonymous

Хм, ребутать крайне нежелательно - это гипервизор виртуальных машин, тогда все сервисы компании лягут...

C селинуксом ничего не делала, в /etc/selinux/targeted/contexts/files уже прописано: 

/var/log/audit(/.*)?    system_u:object_r:auditd_log_t:s0

Текущий /etc/selinux/config: 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Incher
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
В каком конфиге меняется пароль к mysql
Admin
Кто-то подменяет /usr/sbin/sshd. Помогите отыскать концы