运行Ubuntu Linux 9.04,并在dmesg中看到这些奇怪的日志行:
[18.673752] type = 1505 audit(1240159967.221:2):operation =“profile_load”name =“/ usr / share / gdm / guest-session / Xsession”name2 =“default”pid = 2197 [18.730952] type = 1505 audit(1240159967.278:3):operation =“profile_load”name =“/ sbin / dhclient-script”name2 =“default”pid = 2201 [18.731093] type = 1505 audit(1240159967.278:4):operation =“profile_load”name =“/ sbin / dhclient3”name2 =“default”pid = 2201 [18.731141] type = 1505 audit(1240159967.278:5):operation =“profile_load”name =“/ usr / lib / NetworkManager / nm-dhcp-client.action”name2 =“default”pid = 2201 [18.731182] type = 1505 audit(1240159967.278:6):operation =“profile_load”name =“/ usr / lib / connman / scripts / dhclient-script”name2 =“default”pid = 2201 [18.871720] type = 1505 audit(1240159967.417:7):operation =“profile_load”name =“/ usr / lib / cups / backend / cups-pdf”name2 =“default”pid = 2206 [18.871913] type = 1505 audit(1240159967.417:8):operation =“profile_load”name =“/ usr / sbin / cupsd”name2 =“default”pid = 2206 [18.909533] type = 1505 audit(1240159967.458:9):operation =“profile_load”name =“/ usr / sbin / tcpdump”name2 =“default”pid = 2210
是什么产生的,我应该担心吗?
AppArmor在应用程序启动时加载configuration文件。
对于那些不知道的, apparmor类似于selinux ,因为它监视和限制基于一组configuration文件,通常在/etc/apparmor.dconfiguration。
您看到的日志条目是很好的日志条目,并显示AppArmor正在加载并执行此操作。 一般来说,您可以忽略它们,但记住AppArmor存在是个好主意,因为它可以咬你。
例如,我在Ubuntu系统上重新configurationMySQL以使用/home/mysql作为其数据文件,并且不会启动,因为AppArmor阻止访问它。 MySQL日志只是说“权限被拒绝”,而系统日志告诉我,AppArmor正在停止它。
不,这只是内核的审计子系统有点过于活跃。
正如womble所说,没关系。
如果你正在运行logcheck,添加一个正则expression式来过滤掉这些行
长期以来,人们希望对Unix系统上的重要活动进行合理的审计。
Auditd是Linux在生成这个有用实现方面失败的最好例子。 起初看起来不错,但它完全没用,信噪比为零。