主页 / unix / 问题 / 507391
Accepted
fox18
Asked: 2019-03-21 02:22:49 +0800 CST

审计工具在内核版本 3.12.14 中不起作用

  • 772

尝试启动 auditd 服务时出现以下错误:

auditctl[2144]:Error - audit support not in kernel
auditctl[2144]:Cannot open netlink audit socket
auditctl[2144]:Started Security Auditing Service.
systemd[1]:auditd.service: main process exited, code=exited, status=1/FAILURE
systemd[1]:Unit auditd.service entered failed state.

工具的内核配置文件/模块是auditctl什么?我不允许升级内核。

linux linux-audit

1 个回答

  1. Best Answer

    这意味着CONFIG_AUDIT您的内核上没有设置,如果不更改内核或至少编辑一些引导参数,您将无法完成这项任务。

    您将需要:

    • 从您的发行版提供商处下载启用了审核的内核,或者CONFIG_AUDIT如果您的发行版不提供此类内核,则使用启用编译您的内核
    • 如果您的内核是使用启用编译的CONFIG_AUDIT(见下文),请添加内核参数audit=1- 请参阅GRUB Quiet Splash。这是您需要编辑的文件。
      • 请注意,这只是一个示例。如果您使用的不是 GRUB 的其他引导加载程序,您将需要研究它的文档如何将内核选项添加到您的默认内核条目或所有这些条目。例如,systemd-boot具有options=执行此任务的参数并将其启用到条目。

    如何检查当前内核是否启用了此功能:

    在基于 Red Hat 和 Debian 的发行版中,通常内部/boot有一个名为 的配置文件config,并带有uname -r(kernel release) 附加。例子:

    [root@host ~]# grep CONFIG_AUDIT /boot/config-`uname -r`
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_WATCH=y
CONFIG_AUDIT_TREE=y

    在使用该选项编译的发行版上,您可以通过加载内核模块在虚拟目录结构CONFIG_IKCONFIG中获取当前配置文件的压缩版本。例子:/procconfigs

    [root@host ~]# modprobe configs ; gunzip -dc /proc/config.gz | grep AUDIT
# CONFIG_AUDIT is not set
# CONFIG_AUDIT_ARCH_COMPAT_GENERIC is not set
    • 1

相关问题