我在 Ubuntu 18.04 LTS 上运行了一个 OpenLDAP 2.4 服务器。每次我运行
# slapcat -l test.ldif
我的 slapd.log 文件被截断(即以前的日志消息被删除并且新的消息被写入文件开头)。
实际上,slapd.log 的第一行显示的是 slapcat 的输出:
# head /var/log/slapd.log
620ca0f1 The first database does not allow slapcat; using the first available one (2)
Feb 16 08:00:15 srv21449 slapd[2096]: conn=274238 op=552602 SRCH base="" scope=0 deref=0 filter="(objectClass=*)"
Feb 16 08:00:15 srv21449 slapd[2096]: conn=274238 op=552602 SRCH attr=1.1
这让我认为文件截断甚至在 slapcat 生成任何输出之前就发生了。
据我所知,slapcat 与日志记录没有任何关系(由 slapd 守护进程完成),所以我相信我遗漏了一些东西......有什么想法吗?
编辑#1:我在 slapd 运行时运行 slapcat 命令。目前我无法停止服务来检查守护进程未运行时是否会发生这种情况。我之前读到过应该避免这种情况,但从 slapcat 的手册页来看:
对于某些后端类型,执行此操作时,slapd(8) 不应运行(至少不应处于读写模式),以确保数据库的一致性。使用 slapd-bdb(5)、slapd-hdb(5) 和 slapd-null(5) 后端运行 slapcat 始终是安全的。
在运行带有 bdb 后端的 slapd 上运行 slapcat(我的情况)应该是安全的
编辑#2进一步调查后,我尝试使用 auditctl 通过添加新的审计规则来监控对 slapd.log 的访问:
# auditctl -w /var/log/slapd.log -k slapd
再次运行 slapcat 后,我看到以下内容:
type=PROCTITLE msg=audit(1645437260.398:5558713): proctitle=736C6170636174002D6C00746573742E6C646966
type=PATH msg=audit(1645437260.398:5558713): item=1 name="/var/log/slapd.log" inode=131414 dev=fd:04 mode=0100640 ouid=0 ogid=4 rdev=00:00 nametype=NORMAL cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1645437260.398:5558713): item=0 name="/var/log/" inode=131074 dev=fd:04 mode=040775 ouid=0 ogid=106 rdev=00:00 nametype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1645437260.398:5558713): cwd="/root"
type=SYSCALL msg=audit(1645437260.398:5558713): arch=c000003e syscall=257 success=yes exit=4 a0=ffffff9c a1=55e525c35410 a2=241 a3=1b6 items=2 ppid=69682 pid=73954 auid=1000 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=903297 comm="slapcat" exe="/usr/sbin/slapcat" key="slapd"
审计的最后一行显示 /usr/sbin/slapcat 进行了访问,因此确认 slapcat 确实在对 slapd.log 进行操作。我开始问自己,这是否只是“热”运行 slapcat 的预期行为(即不停止 slapd 服务),即使这对我来说没有多大意义...