我手上有一个谜。 有一天/etc/rc5.d/S11auditd成了/etc/rc5.d/K88auditd ,没有人为此负责。 看起来好像只是自己发生,这是不可能的,需要一点点调查。
假设默认的Fedora 12安装,跟踪导致auditd被删除的初始化序列的操作的方式是什么? 到目前为止,我检查:
/var/log/messages显示有一次恶魔在重新启动时被正确closures,并且从未再次加载。
/var/log/audit/audit.log通过ausearch显示基本相同的东西。
chkconfig | grep audit chkconfig | grep audit显示它正在closures,但只在第五个运行级别。
我什至尝试.bash_history没有运气。
last也显示没有人用ssh远程login。
那么,我错过了什么? 在哪里寻找更多信息?
我只是有同样的问题,并有可能的解释。
在我的情况下,我怀疑这是由readahead包引起的,它通过更改rc.d链接临时禁用auditd (请参阅/etc/init/readahead-disable-services.conf )。 它应该在启动序列结束时改变它们,但是如果你打断它(例如CtrlAltDel或停电),那么auditd将被永久closures。
在https://bugzilla.redhat.com/show_bug.cgi?id=729452有一些讨论。