我手上有一個謎。/etc/rc5.d/S11auditd有一天/etc/rc5.d/K88auditd,沒有人為此負責。看起來這件事是自然發生的,這不太可信,需要進行一些調查。
假設預設安裝 Fedora 12,有哪些方法可以追蹤導致auditd初始化序列被刪除的操作?到目前為止我檢查過:
/var/log/messages顯示有一次惡魔在重新啟動時被正確關閉並且從未再次加載。
/var/log/audit/audit.log透過ausearch顯示基本上相同的東西。
chkconfig | grep audit顯示它目前已關閉,但僅在第 5 個運行等級上關閉。
我什至嘗試過.bash_history但沒有運氣。
last也顯示沒有人習慣ssh遠端登入。
那麼,我錯過了什麼?哪裡可以找到更多資訊?
答案1
我剛剛遇到了同樣的問題並有一個可能的解釋。
就我而言,我懷疑這是由在引導期間透過更改連結readahead暫時停用的包引起的(請參閱 參考資料)。它應該在啟動順序結束時將它們更改回來,但如果您中斷該操作(例如 CtrlAltDel 或斷電),則將永久關閉。auditdrc.d/etc/init/readahead-disable-services.confauditd
有一些關於它的討論https://bugzilla.redhat.com/show_bug.cgi?id=729452。