- PR -

LauS(Linux Auditing System)のauditについて

1
投稿者投稿内容
ちゃばたけ
会議室デビュー日: 2006/01/31
投稿数: 3
投稿日時: 2007-06-25 16:33
皆さんお世話になります。Linux初心者です。

OS:RedHatLinuxES3
LauS(Linux Auditing System)のauditのdefault(update5相当)の設定は
/var/log/audit.d配下に20Mのファイルへ吐き出し続け残り容量20%を切るまで増え続けます。


そこで、実際に20%のとなった場合、どうなるのでしょうか?
様々なアクセスを拒否(制限?)しだすと勝手に考えてしまっているのですが...


実際、サーバのシスログに下記のようなログが出力され
telnet,ssh,FTP等々にてアクセスが出来なくなってしまったり、
cronが起動しなかったりという状態に陥ってしまいました。


-/var/log/messages(抜粋)
Jun 23 08:36:28 **** audbin[22157]: saving binary audit log /var/log/audit.d/bin.3
Jun 23 08:36:30 **** audbin[22157]: clearing binary audit log /var/log/audit.d/bin.3
Jun 23 12:28:21 **** audbin[31101]: saving binary audit log /var/log/audit.d/bin.0
Jun 23 12:28:21 **** audbin[31101]: threshold 20.00 exceeded for filesystem /var/log/audit.d/. - free blocks down to 19.87%
Jun 23 12:28:21 **** auditd[2029]: Notify command /usr/sbin/audbin -S /var/log/audit.d/save.%u -C -T 20% exited with status 1
Jun 23 12:28:21 **** auditd[2029]: output error
Jun 23 12:28:21 **** auditd[2029]: output error
Jun 23 12:28:21 **** auditd[2029]: output error; suspending execution


にゃかみゅら
会議室デビュー日: 2007/07/04
投稿数: 3
投稿日時: 2007-07-04 05:27
はじめまして。

RHEL3のauditdを放っておいたら…という話は聞いたことがあります。

以下はlaus-0.1-70RHEL3より改善された現象です。
デフォルト設定の20%を超えてもファイルを作成し続けディスクを圧迫してしまう模様です。
update5でのlausのバージョンに関しては当方存じ上げませんので見当違いかもしれませんが。
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=130071

そのほか
・lausのバージョン
・telnet,ssh,FTP,cron関連のログ
・dfの結果
・inodeの状態
などの情報があれば何か分かるかもしれません。

ではでは。
ちゃばたけ
会議室デビュー日: 2006/01/31
投稿数: 3
投稿日時: 2007-07-04 09:03
自己解決しました。
皆さんありがとうございました。

発生したのはlaus-0.1-70RHEL3でした。
見当あってるといいんですが下記が該当すると思います。

Bug#158591
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=158591
[概要]
Update5 でaudit を使用しており、ログを吐く /var の残りが20%を切ると
/etc/audit/audit.conf の errorに入り、suspendが発生する

---
これにより、auditdが動作中にハングアップ、スローダウン、パニックが発生することが場合があるそうです。


[ メッセージ編集済み 編集者: ちゃばたけ 編集日時 2007-07-04 09:04 ]
1

スキルアップ/キャリアアップ(JOB@IT)