| View previous topic :: View next topic |
| Author |
Message |
dmganges
n00b
Joined: 06 Jun 2007
Posts: 34
Location: Ganges(34)
|
 Posted: Fri Jun 26, 2009 9:24 am Post subject: [kauditd] A quoi sert-il ? |
 |
|
Bonjour,
Je poste ici une question déjà posée sur http://www.commentcamarche.net/forum/affich-13042340-kauditd
Si vous n'avez pas le temps de lire notre prose ; je cherche à quoi sert le [kauditd] que l'on trouve en faisant un ps -ef et qui semble correspondre aux paramètres du noyau CONFIG_AUDIT_ARCH et CONFIG_AUDIT.
| Quote: | Je suis sur Mandriva 2008 :
# ps -ef |grep audit
root 4434 2 0 06:05 ? 00:00:00 [kauditd]
Je cherche à savoir ce que fait kauditd,
- je ne le trouve pas comme service dans /etc/init.d
- lorsque je shutdown, je vois une ligne sibylline contenant quelques infos dont "audit" et "eth0"
Je ne sais pas comment démarre ce service ni comment l'arrêter, peut-on exploiter des informations en cours de session, si oui comment...
Sur google lorsque je fais des recherches de kauditd, je tombe sur des résultats de ps et n'ai rien trouvé de concret dessus.
Toutes pistes, sites, commentaires... seront les bienvenus.
MERCI d'avance |
de bob031
Bonjour,
effectivement c'est une bonne question !
j'ai exactement la même chose sur mandriva 2008.1 :
> root@mandriva[192.168.1.2]:/var/log# ps ax | grep audit
4737 ? S< 0:00 [kauditd]
17707 pts/1 R+ 0:00 grep --color audit
> root@mandriva[192.168.1.2]:/var/log#
de la même manière, je ne vois pas d'ou il sort ! rien dans les services !
j'ai cherché un bon moment ....
cela pourrait-être lié à selinux (mais je n'ai pas selinux !!!).
l'autre piste serait alors celle-ci :
> root@mandriva[192.168.1.2]:/var/log# cat /usr/src/linux-2.6.24.7-desktop586-2mnb/.config | grep AUDIT
# CONFIG_AUDIT_ARCH is not set
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_TREE=y
CONFIG_AUDIT_GENERIC=y
> root@mandriva[192.168.1.2]:/var/log#
http://cateee.net/lkddb/web-lkddb/AUDITSYSCALL.html
> root@mandriva[192.168.1.2]:/var/log# dmesg | grep audit
audit: initializing netlink socket (disabled)
audit(1245915138.308:1): initialized
> root@mandriva[192.168.1.2]:/var/log#
> root@mandriva[192.168.1.2]:/var/log# find / -name audit
/sys/module/apparmor/parameters/audit
/usr/src/linux-2.6.24.7-desktop586-1mnb/include/config/audit
/usr/src/linux-2.6.24.7-desktop586-2mnb/include/config/audit
> root@mandriva[192.168.1.2]:/var/log#
| Quote: |
Déjà merci de ta réponse bob031,
- moi non plus je n'ai pas selinux
- je n'ai pas non plus de fichier .config ni audit dans /usr/src
- dans /var/log j'ai :
/var/log
# dmesg |grep audit
audit: initializing netlink socket (disabled)
audit(1245924746.245:1): initialized
audit(1245917578.778:2): dev=eth0 prom=256 old_prom=0 auid=4294967295
C'est à peu près ce que je trouve sur Internet lorsque je fais une recherche...
J'ai bien un répertoire /etc/audit qui contient 1 seul fichier
/etc/audit
# ll
total 4
-rw-r--r-- 1 root root 373 2007-09-26 00:26 audit.rules
/etc/audit
# cat audit.rules
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.
# First rule - delete all
-D
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320
# Feel free to add below this line. See auditctl man page
J'ai trouvé un man auditctl : http://linux.die.net/man/8/auditctl
ainsi qu'un man auditd : http://linux.die.net/man/5/auditd.conf +
http://linux.die.net/man/8/auditd
je n'ai pas de /etc/audit/auditd.conf sensé configurer le deamon...
Les infos trouvées dans /etc/audit.rules semblent correspondre aux paramètres du man/8/auditctl
BON :
"Name
auditctl - a utility to assist controlling the kernel's audit system "
Je suis juste un peu moins sec, mais encore sur ma faim...
Ce n'est déjà pas un service sensé répondre à des requêtes extérieures...
C'est déjà çà !-) |
de bob031
- je n'ai pas non plus de fichier .config ni audit dans /usr/src
le fichier .config est le fichier de configuration du noyau
donc tu devrais avoir un fichier .config dans /usr/src/linux-xxx/
et si tu fais un grep AUDIT dans le fichier .config alors, on voit que l'audit est acivé dans le noyau ...
et ceci audit(1245924746.245:1c), d'après mes lectures, indique que ce charabia est en rapport avec le noyau ...
donc en recompilant le noyau sans activer audit, on verrait si c'est lié ou pas ... mais
1) j'ai pas envie de recompiler mon noyau
2) je ne garantie pas des effets fâcheux qui pourraient subvenir suite à cette recompilation.
par contre, je n'ai aucun répertoire /etc/audit ...
| Quote: |
Bonjour, et pardon pour ma réponse tardive, je ne me connecte que le matin très tôt.
J'ai une Mandriva 2008 gratuite d'installée, je n'ai pas grand chose dans le répertoire /usr/src
/usr/src
# ll -R
.:
total 4
drwxr-xr-x 3 root root 4096 2008-09-18 07:18 rpm/
./rpm:
total 4
drwxr-xr-x 8 root root 4096 2008-09-18 07:18 RPMS/
./rpm/RPMS:
total 24
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 athlon/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 i386/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 i486/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 i586/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 i686/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 noarch/
./rpm/RPMS/athlon:
total 0
./rpm/RPMS/i386:
total 0
./rpm/RPMS/i486:
total 0
./rpm/RPMS/i586:
total 0
./rpm/RPMS/i686:
total 0
./rpm/RPMS/noarch:
total 0
Je tourne aussi avec une Gentoo et là bien sûr j'ai les fichiers de configuration.
D'un moment je regarderai dans la Gentoo le paramétrage du noyau s'il y a des infos sur "audit".
Il est vrai que les infos qui circulent sont peu claires.
Bon, ça ne va pas m'empêcher de dormir, en tous cas MERCI pour tes réponses !
|
| Quote: |
Slt bob031,
à titre info dans le .config du noyau de ma Gentoo tous les CONFIG_AUDIT sont à "is not set".
Comme j'ai généré la Gentoo à partir d'un stage3, "is not set" est la valeur par défaut les "AUDIT" ne sont donc pas indispensables au comportement du noyau.
Je vais poster ma requête sur le forum Gentoo, il doit bien y avoir quelques férus du noyau à s'être posé la question...
|
MERCI d'avance à celles et ceux qui pourront nous éclairer et surtout satisfaire notre curiosité :
A quoi sert kauditd, comment ça s'exploite, doc, sites ... tout quoi  |
|
| Back to top |
|
 |
Tuxicomane
Apprentice
Joined: 14 Nov 2006
Posts: 290
Location: Val-de-Marne, FRANCE
|
| Posted: Fri Jun 26, 2009 9:31 am Post subject: |
|
|
C'est visiblement un thread du kernel, ça n'est pas un démon donc pas étonnant que tu ne trouve rien dans le FS à ce sujet 
À quoi il sert ? Aucune idée, mais du coup, la doc de Linux devrait être ton amie !
_________________
Envie d'un hébergeur Web, FTP, Mail, IRC, etc. sans limite de trafic mensuel et taillé à ta mesure ?
Alors clique ici !
--
Also known as vpm |
|
| Back to top |
|
|
dmganges
n00b
Joined: 06 Jun 2007
Posts: 34
Location: Ganges(34)
|
| Posted: Fri Jun 26, 2009 3:53 pm Post subject: |
|
|
Merci de ta réponse Tuxicomane,
Oui ça à l'air de coller de près au noyau, mais voila le peu de doc (les URL des mans) ne comble pas le peu qui est accessible à mon petit neurone... |
|
| Back to top |
|
|
xaviermiller
Bodhisattva
Joined: 23 Jul 2004
Posts: 8723
Location: ~Brussels - Belgique
|
| Posted: Fri Jun 26, 2009 5:22 pm Post subject: |
|
|
salut,
Quand on parle de la doc de linux, c'est dans /usr/src/linux/Documentation : une mine d'information
_________________
Kind regards,
Xavier Miller |
|
| Back to top |
|
|
dmganges
n00b
Joined: 06 Jun 2007
Posts: 34
Location: Ganges(34)
|
| Posted: Sat Jun 27, 2009 3:45 am Post subject: |
|
|
Ah, super,
MERCI
J'avais pas vu ! |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
|
French
