问题信息:
1,您的系统Red Hat Enterprise Linux AS release 3 (Taroon Update 6)。
2,您的故障现象为系统启动一段时间后,不能登录,无论从本机和远程。
2,您的系统内核中审核子系统LauS (Linux Auditing System)已经启用,
因为您的messages里有“Feb 25 13:06:10 dzyxlrm kernel: audit subsystem ver 0.1 initialized”。
3,现在您的系统里auditd服务是off的。
4,由于以前的messages已经被清空,故不能准确看到出错的相关信息。(经与您电话确认,应该有output error字样)。
LauS (Linux Auditing System)是在AS3 u2里初次出现的,相关介绍请参考以下链接的相关部分:
在您的系统 /etc/audit/audit.conf里是否有一句类似notify = "/usr/sbin/audbin -S /var/log/audit.d/save.%u -C -T 20%";
当包含/var/log/audit.d/的磁盘剩余空间小于20%时,auditd将悬挂起来,相关的可审核操作都不能进行了,如登录。这不算是一个bug,只是默认的配置需要根据
您的需要更改。
您可以采取的措施:
1, 如果您不需要审核信息,禁用audtid服务 ("chkconfig --del auditd"),系统性能会有所提高. 如果想要彻底禁用内核中的audit,可以删除 /dev/audit文件,重新启动。
以后可以通过在grub.conf 里kernel行最后加入audit=1来启用。
2,如果您不介意丢失审核数据,注释掉默认的audit.conf出错动作:
error {
# action {
# type = suspend;
# };
如果磁盘空间超过限制,auditd写syslog错误消息,而不进入悬挂模式,随后的审核记录都会被丢弃;
3,如果想自动保留审核数据并把它们转移到别的分区,请修改
notify = "/usr/sbin/audbin -S /var/log/audit.d/save.%u -C -T 20% -N 'mv %f /backup'"; (/backup 是另外您想保存数据的分区)
4,如果想自动删除较老的审核数据,请修改
notify = "/usr/sbin/audbin -S /var/log/audit.d/save.%u -C -T 20% -N 'rm -f %f'";
5, 您也可以设置相关审核策略,只审核你需要的动作。来降低审核数据的增长速度。
更多信息请参考相关手册man laus; man audit.conf; man auditd; man audit; man audbin.
阅读(1417) | 评论(0) | 转发(0) |
