[kauditd] Fermé

Question

Bonjour,
Je suis sur Mandriva 2008 :
# ps -ef |grep audit
root      4434     2  0 06:05 ?        00:00:00 [kauditd]

Je cherche à savoir ce que fait kauditd,
- je ne le trouve pas comme service dans /etc/init.d
- lorsque je shutdown, je vois une ligne sibylline contenant quelques infos dont "audit" et "eth0"

Je ne sais pas comment démarre ce service ni comment l'arrêter, peut-on exploiter des informations en cours de session, si oui comment...

Sur google lorsque je fais des recherches de kauditd, je tombe sur des résultats de ps et n'ai rien trouvé de concret dessus.

Toutes pistes, sites, commentaires... seront les bienvenus.
MERCI d'avance

bob031 · Answer

bonjour,

effectivement c'est une bonne question !

j'ai exactement la même chose sur mandriva 2008.1 :
> root@mandriva[192.168.1.2]:/var/log# ps ax | grep audit
 4737 ?        S<     0:00 [kauditd]
17707 pts/1    R+     0:00 grep --color audit
> root@mandriva[192.168.1.2]:/var/log#

de la même manière, je ne vois pas d'ou il sort ! rien dans les services ! 

j'ai cherché un bon moment ....

cela pourrait-être lié à selinux (mais je n'ai pas selinux !!!).

l'autre piste serait alors celle-ci :
> root@mandriva[192.168.1.2]:/var/log# cat /usr/src/linux-2.6.24.7-desktop586-2mnb/.config | grep AUDIT
# CONFIG_AUDIT_ARCH is not set
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_TREE=y
CONFIG_AUDIT_GENERIC=y
> root@mandriva[192.168.1.2]:/var/log#
https://cateee.net/lkddb/web-lkddb/AUDITSYSCALL.html

> root@mandriva[192.168.1.2]:/var/log# dmesg | grep audit
audit: initializing netlink socket (disabled)
audit(1245915138.308:1): initialized
> root@mandriva[192.168.1.2]:/var/log#

> root@mandriva[192.168.1.2]:/var/log# find / -name audit
/sys/module/apparmor/parameters/audit
/usr/src/linux-2.6.24.7-desktop586-1mnb/include/config/audit
/usr/src/linux-2.6.24.7-desktop586-2mnb/include/config/audit
> root@mandriva[192.168.1.2]:/var/log#

dmganges · Answer

Déjà merci de ta réponse bob031,
- moi non plus je n'ai pas selinux
- je n'ai pas non plus de fichier .config ni audit dans /usr/src
- dans /var/log j'ai :

/var/log
# dmesg |grep audit
audit: initializing netlink socket (disabled)
audit(1245924746.245:1): initialized
audit(1245917578.778:2): dev=eth0 prom=256 old_prom=0 auid=4294967295

C'est à peu près ce que je trouve sur Internet lorsque je fais une recherche...

J'ai bien un répertoire /etc/audit qui contient 1 seul fichier 
/etc/audit
# ll
total 4
-rw-r--r-- 1 root root 373 2007-09-26 00:26 audit.rules

/etc/audit
# cat audit.rules
# This file contains the auditctl rules that are loaded
# whenever the audit daemon is started via the initscripts.
# The rules are simply the parameters that would be passed
# to auditctl.

# First rule - delete all
-D

# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 320

# Feel free to add below this line. See auditctl man page


J'ai trouvé un man auditctl : https://linux.die.net/man/8/auditctl
ainsi qu'un man auditd : https://linux.die.net/man/5/auditd.conf + 
https://linux.die.net/man/8/auditd

je n'ai pas de /etc/audit/auditd.conf sensé configurer le deamon...

Les infos trouvées dans /etc/audit.rules semblent correspondre aux paramètres du man/8/auditctl

BON :
"Name
auditctl - a utility to assist controlling the kernel's audit system "

Je suis juste un peu moins sec, mais encore sur ma faim...

Ce n'est déjà pas un service sensé répondre à des requêtes extérieures...
C'est déjà çà !-)

bob031 · Answer

- je n'ai pas non plus de fichier .config ni audit dans /usr/src 

le fichier .config est le fichier de configuration du noyau 
donc tu devrais avoir un fichier .config dans /usr/src/linux-xxx/

et si tu fais un grep AUDIT dans le fichier .config alors, on voit que l'audit est acivé dans le noyau ...
et ceci audit(1245924746.245:1c), d'après mes lectures, indique que ce charabia est en rapport avec le noyau ...

donc en recompilant le noyau sans activer audit, on verrait si c'est lié ou pas ... mais 
1) j'ai pas envie de recompiler mon noyau
2) je ne garantie pas des effets fâcheux qui pourraient subvenir suite à cette recompilation.



par contre, je n'ai aucun répertoire /etc/audit ...

dmganges · Answer

Bonjour, et pardon pour ma réponse tardive, je ne me connecte que le matin très tôt.

J'ai une Mandriva 2008 gratuite d'installée, je n'ai pas grand chose dans le répertoire /usr/src

/usr/src
# ll -R
.:
total 4
drwxr-xr-x 3 root root 4096 2008-09-18 07:18 rpm/

./rpm:
total 4
drwxr-xr-x 8 root root 4096 2008-09-18 07:18 RPMS/

./rpm/RPMS:
total 24
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 athlon/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 i386/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 i486/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 i586/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 i686/
drwxr-xr-x 2 root root 4096 2007-10-02 12:09 noarch/

./rpm/RPMS/athlon:
total 0

./rpm/RPMS/i386:
total 0

./rpm/RPMS/i486:
total 0

./rpm/RPMS/i586:
total 0

./rpm/RPMS/i686:
total 0

./rpm/RPMS/noarch:
total 0

Je tourne aussi avec une Gentoo et là bien sûr j'ai les fichiers de configuration.
D'un moment je regarderai dans la Gentoo le paramétrage du noyau s'il y a des infos sur "audit".

Il est vrai que les infos qui circulent sont peu claires.
Bon, ça ne va pas m'empêcher de dormir, en tous cas MERCI pour tes réponses !

dmganges · Answer

Slt bob031,
à titre info dans le .config du noyau de ma Gentoo tous les CONFIG_AUDIT sont à "is not set".
Comme j'ai généré la Gentoo à partir d'un stage3, "is not set" est la valeur par défaut les "AUDIT" ne sont donc pas indispensables au comportement du noyau.
Je vais poster ma requête sur le forum Gentoo, il doit bien y avoir quelques férus du noyau à s'être posé la question...

Tiens si tu veux suivre :
https://forums.gentoo.org/viewtopic-p-5829140.html#5829140

bob031 · Answer

Salut,

Désolé, j'étais absent ces derniers jours ! 

j'ai lu ton post sur le forum gentoo .... il faut donc se taper la documentation (dixit XavierMiller)

ps : dès que j'ai un moment, je regarderai ce qu'il en ait sur ma gentoo et aussi jeter un oeil à la doc !

:-)