Вопрос. Что будет с системой (SELINUX=enforcing), если auditd не сможет писать в /var/log/audit/audit.log ?
У меня пока что сложилось впечатление, что если начнутся проблемы с записью в /var, то от того, что операции не будут логгироваться, они не будут выполняться, то есть ситема будет полуживая.
Просто, сегодня ночью заливал скриптом много файлов по ftp в /var/ftp, параллельно другой скрипт через sudo эти файлы перемещал. Всё работало, а потом в логи вылезло:
kernel: INFO: task auditd:2998 blocked for more than 120 seconds.
И дальше ещё немного ругани. При этом получилось, что скрипт, который запускал команды через sudo работать перестал, а заливка файлов по ftp продолжалась. Потом, примерно через час, место /var стало мало, в лог записалось:
auditd[2997]: Audit daemon has no space left on logging partition
аудит отрубился и скрипты стали работать нормально. Кто-нибудь сталкивался с подобным поведением?
