LINUX.ORG.RU

Аудит файлов в OpenVZ

 ,


0

2

Привет, столкнулся с проблемой, не работает auditd внутри контейнера OpenVZ, пишет «The audit system is disabled», в логах

type=DAEMON_START msg=audit(1409837004.631:2216): auditd start, ver=1.8 format=raw kernel=2.6.32-042stab079.5 auid=4294967295 pid=27927 res=success
type=DAEMON_ABORT msg=audit(1409837004.633:2217): auditd error halt, auid=4294967295 pid=27927 res=failed
type=DAEMON_START msg=audit(1409837107.467:5701): auditd start, ver=1.8 format=raw kernel=2.6.32-042stab079.5 auid=4294967295 pid=28137 res=success
type=DAEMON_ABORT msg=audit(1409837107.469:5702): auditd error halt, auid=4294967295 pid=28137 res=failed

Может быть кто сталкивался с этой проблемой и удалось ее решить, или может быть есть аналогичный софт для аудита файловой системы, но что бы можно было видеть процесс или пользователя который работал с файлом? inotify-tools не подходит, хотя может я не до конца разобрался и он тоже это умеет?



Последнее исправление: Klymedy (всего исправлений: 1)

inotify-tools не может сказать pid, так как там в принципе от ядра не передаётся PID процесса, вызвавшего изменения файла. Гуглится патч, который будет сувать PID в события inotify, но, уж проще пересобрать ядро с поддержкой audit, чем с этим патчем. Это если у вас вобще есть доступ к основной системе, а не только к контейнеру.

mky ★★★★★
()
Ответ на: комментарий от mky

На физическом сервере audit работает, значит в ядре есть поддержка? может быть как-то нужно в настройках самого контейнера включать эту функцию?

sDvig
() автор топика
Ответ на: комментарий от sDvig

Раз работает, значит есть. А с контейнером, похоже, дохлый номер. Там будут против, и capabilities (у контейнера нет CAP_AUDIT_WRITE и CAP_AUDIT_CONTROL), и то, что c audit netlink-сокетом можно взаимодействовать только из первоначального network namespace. Да ещё пишут, что в старых ядрах подсистема audit не отличала события в контейнере и всё было в одной куче. Не знаю, что посоветовать.

mky ★★★★★
()
19 марта 2016 г.

bump

И все-таки: чем заменить auditd в openvz? Ну не мониторить же контейнеры с хардварной ноды...

D_Ima
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.