LINUX.ORG.RU
ФорумAdmin

Auditd отказывается запускаться (Centos 6.4)


0

1

Доброго времени суток! Случайно обнаружилось, что демон auditd остановлен, запускаться тоже не запускается:

[root@hp-proliant]# service auditd start
Запускается auditd:                                        [СБОЙ ]

в логах:

[root@hp-proliant]# tail /var/log/messages
Oct 25 10:42:40 hp-proliant auditd: Could not open dir /var/log/audit (Permission denied)
Oct 25 10:42:40 hp-proliant auditd: The audit daemon is exiting.
Oct 25 10:42:40 hp-proliant kernel: type=1400 audit(1382683360.103:21): avc:  denied  { dac_override } for  pid=14636 comm="auditd" capability=1  scontext=unconfined_u:system_r:auditd_t:s0 tcontext=unconfined_u:system_r:auditd_t:s0 tclass=capability
Oct 25 10:42:40 hp-proliant kernel: type=1400 audit(1382683360.103:22): avc:  denied  { dac_read_search } for  pid=14636 comm="auditd" capability=2  scontext=unconfined_u:system_r:auditd_t:s0 tcontext=unconfined_u:system_r:auditd_t:s0 tclass=capability

При этом права на директорию и сам файл лога такие:

[root@hp-proliant]# ls -al /var/log/audit
итого 6160
drwxr-xr-x. 2 root root    4096 Июн 30 08:44 .
drw-------. 7 root root    4096 Окт 20 03:32 ..
-rw-------. 1 root root 6291519 Авг  2 03:42 audit.log

Подскажите, пожалуйста, куда копать?

type=1400 audit(1382683360.103:21): avc: denied { dac_override } for pid=14636 comm=«auditd» capability=1 scontext=unconfined_u:system_r:auditd_t:s0 tcontext=unconfined_u:system_r:auditd_t:s0 tclass=capability

чего с селинуксом делал?

если включена обычная политика targeted, сделай

# touch /.autorelabel

и ребутнись — селинукс восстановит свои метки, если не поможет, то вот костыль — рабочие метки для /var/log/audit: system_u:object_r:auditd_log_t:s0

anonymous ()
Ответ на: комментарий от anonymous

Хм, ребутать крайне нежелательно - это гипервизор виртуальных машин, тогда все сервисы компании лягут...

C селинуксом ничего не делала, в /etc/selinux/targeted/contexts/files уже прописано:

/var/log/audit(/.*)?    system_u:object_r:auditd_log_t:s0

Текущий /etc/selinux/config:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=enforcing
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

Incher ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.