我手头上有一个谜团。有一天它/etc/rc5.d/S11auditd变了/etc/rc5.d/K88auditd,却没有人对此负责。它看起来就像是自然发生的,这很难令人信服,需要进行一些调查。
假设默认安装 Fedora 12,追踪导致初始化序列被删除的操作的方式有哪些auditd?到目前为止,我检查了:
/var/log/messages显示有一次恶魔在重启时被正确关闭并且从未再次加载。
/var/log/audit/audit.logviaausearch显示的内容基本相同。
chkconfig | grep audit显示它目前已关闭,但仅处于第 5 运行级别。
我甚至尝试过,.bash_history但是没有成功。
last还显示没有人使用过ssh远程登录。
那么,我错过了什么?在哪里可以找到更多信息?
答案1
我刚刚遇到了同样的问题并且有一个可能的解释。
就我而言,我怀疑这是由在启动过程中通过更改链接readahead暂时禁用的软件包引起的(请参阅)。它应该在启动序列结束时将它们改回来,但如果你中断它(例如 CtrlAltDel 或断电),那么它将被永久关闭。auditdrc.d/etc/init/readahead-disable-services.confauditd