Дано: VPS с Убунтой, ядро якобы 5.4.0, судя по «uname -r». Пробую поставить auditd, из-под рутовой сессии по SSH, но не получается.
Проблемы:
-
setpriority с повышением приоритета валится с EACCES (с чего бы это?) Обошел установкой соотв. priority boosting опции конфиге auditd в значение 0.
-
Ядерного треда [kauditd] нет в списке задач.
-
sendmsg на нетлинк сокет в процессе старта user-space демона валится с ECONNREFUSED.
Вот, что в логах, если стартовать user-space демон через Убунтовский systemd конфиг:
Dec 25 08:44:39 server auditd[5978]: Started dispatcher: /sbin/audispd pid: 5980
Dec 25 08:44:39 server auditd[5978]: Unable to set initial audit startup state to 'enable', exiting
Dec 25 08:44:39 server auditd[5978]: The audit daemon is exiting.
Dec 25 08:44:39 server auditd[5977]: Cannot daemonize (Success)
Dec 25 08:44:39 server auditd[5977]: The audit daemon is exiting.
Dec 25 08:44:39 server systemd[1]: auditd.service: Control process exited, code=exited, status=1/FAILURE
Как я понял, «Unable to set initial audit startup state to ‘enable’, exiting» - это из-за ECONNREFUSED на нетлинк-сокет.
Вот, что выдает «zgrep AUDIT /proc/config.gz»:
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_WATCH=y
CONFIG_AUDIT_TREE=y
CONFIG_NETFILTER_XT_TARGET_AUDIT=m
CONFIG_IMA_AUDIT=y
CONFIG_KVM_MMU_AUDIT=y
Какие есть идеи?
