停止linux机器的auditd.service

最新推荐文章于 2025-03-20 10:00:02 发布

mmgithub123

最新推荐文章于 2025-03-20 10:00:02 发布

阅读量4.1k

点赞数 1

文章标签： linux java 大数据 ssh ubuntu

本文链接：https://blog.youkuaiyun.com/mmgithub123/article/details/124507821

版权

在使用ansible 或者ssh的时候。因为机器上也装了一些特殊软件。导致经常ansible执行卡住，或者ssh卡住。或者机器莫名假死。

所以绝对停掉auditd.service服务看看。

但这个服务的service文件配置了，RefuseManualStop=yes，是不允许手动停止的。

所以需要这里RefuseManualStop=yes 改成no，然后操作。

ansible all-linux -m shell -a "sed -i '14 s/yes/no/g' /usr/lib/systemd/system/auditd.service "

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

mmgithub123

关注关注

1
点赞
踩
5

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Linux kdump Crash故障定位分析详解

悦分享

08-16

1771

kdump是2.6.16之后，内核引入的一种新的内核崩溃现场信息收集工具。当一个内核崩溃后(我们称之为panic)，内核会使用kexec（类似于进程的exec，把当前内核换掉）进入到一个干净的备份内核（只使用少量内存，由第一个内核预留放在一块内存中），干净的内核启动后，仍旧是用户态服务初始化，这时会使用kdump工具会从内核读出需要的信息，再写到磁盘上的一个vmcore的文件中。之后就可以使用crash工具来分析vmcore文件了（就像gdb分析用户态崩溃现场core文件一样）。

Linux运维实战：CentOS7.6操作系统（计划任务/日志/系统启动/网络管理）

Lakers2015的博客

11-13

2372

1. Linux计划任务与日志的管理 2. Linux系统启动原理及故障排除 3. Linux网络管理技术

1 条评论您还未登录，请先登录后发表或查看评论

linux audit(安全审计功能)

underzerotem的博客

05-07

1390

今天系统中遇到rc.local被人删除掉的问题，从同事那里得知一工具可以监控文件被删除或修改是被谁和哪条指令修改的，就是audit，总结了一下，尤其是注意事项，希望后续可以省掉一些问题定位时间。 Linux安全审计功能 audit详解动机我们知道在Linux系统中有大量的日志文件可以用于查看应用程序的各种信息，但是对于用户的操作行为（如某用户修改删除了某文件）却无法通过这些日志文件来查看，...

linux停止auditd.service审计服务

Borny鼎鼎的博客

11-23

1941

（3）停止auditd.service审计服务。（2）重启daemon。

Linux netlink

汽车以太网和SOA

03-20

3058

Linux netlink

麒麟系统关闭auditd

喝醉酒的小白

12-14

1397

【代码】麒麟系统关闭auditd。

Linux 审计服务关停报错 Failed to stop auditd.service: Operation refused requested by dependency only

qq_42675635的博客

11-21

3951

audtid 配置问题

银河麒麟高级服务器操作系统V10SP2（X86）audit服务组件升级、进程彻底关闭介绍

weixin_45754407的博客

05-06

3542

银河麒麟高级服务器操作系统V10SP2（X86）audit服务组件升级、进程彻底关闭介绍

Linux audit 安全审计干货

qq_40795955的博客

05-13

2481

目录简介一丶审计规则（Auditctl 和 audit.rules）二丶配置文件（auditd.conf）三丶报告工具（aureport）四丶事件查找（ausearch）简介简单来说，修改两个配置文件（/etc/audit/audit.rules 和/etc/audit/auditd.conf ），然后通过aureport和ausearch生成和分析数据。要使用安全审计系统可采用下面的步骤：内核选项勾选和安装软件包（上篇文章已介绍）。添加审计规则，修改配置文件，然后启用 audit 守护进程进行日志记

Linux系统日志管理宝典：解读_var_log与auditd工具

Linux系统日志管理概述 Linux系统日志管理是确保系统安全、稳定运行的关键组成部分。它涉及到记录系统活动、诊断问题、监控系统健康状况以及实现安全审计的各个方面。在本章中，我们将对Linux系统日志管理的基本...

linux实操总结—进程管理

Hubert的博客

03-04

3435

目录1. 进程的基本介绍2. 显示系统执行的进程 1. 进程的基本介绍在LINUX中，每个执行的程序（代码）都称为一个进程。每一个进程都分配一个ID号。每一个进程，都会对应一个父进程，而这个父进程可以复制多个子进程。例如www服务器。每个进程都可能以两种方式存在的。前台与后台，所谓前台进程就是用户目前的屏幕上可以进行操作的。后台进程则是实际在操作，但由于屏幕上无法看到的进程，通常使用后台方式执行。一般系统的服务都是以后台进程的方式存在，而且都会常驻在系统中。直到关机才才结束。 2. 显示系统执行

银河麒麟关闭审计audit

cddchina的专栏

11-27

1136

银河麒麟银河麒麟常见问题：银河麒麟关闭审计的解决方案：

linux-auditd.service

yuanlnet的博客

10-23

261

linux-auditd.service

linux服务——auditd

updba的专栏

03-24

1万+

审计（audit）是linux安全体系的重要组成部分，他是一种“被动”的防御体系。在内核里有内核审计模块，核外有核外的审计后台进程auditd。应用程序给内核发送审计消息，内核的审计模块再把消息转发给用户空间的后台进程auditd处理。大概就是这么回事，我不是太深入，如果需要更多的内容，自己去查阅相关资料。如果没有好的资料，我推荐一本，《linux安全体系分析与编程》作者倪继利。

使用Audit审计服务排查linux终端异常关机问题

EbowTang的练习场

03-06

3163

目录【基本信息】【问题描述】【定位过程】 1，整理规律如下 2，部署audit审计服务定位问题 3，定位后期【问题原因】【问题解决】【问题小结】附录 1,audit审计服务部署脚本及其安装包 2,配置软绘，软解，禁用power键 3,部署audit服务 4,audit审计日志与规则我将本案例写成了文档案例，可参见阿里云盘链接下载阅读，凡是提及附件的地方本文均未粘贴，可下载文档来阅读：「spaceos终端不符合预期关机问题」https://www.

银河麒麟服务器系统V10SP3(全ARM架构)auditd.service（审计服务）异常问题解决

qq_27815483的博客

07-19

2814

银河麒麟高级服务器操作系统V10SP3，升级完内核后，通过systemctl status auditd.service命令发现auditd.service（审计服务）异常，并提示：Condition check resulted in securityAuditing Service being skipped

理解Linux Audit Service.

weixin_30362801的博客

06-27

769

一、概述 Linux audit通过分析系统上正在发生的细节信息，能够有效帮助您提高系统的安全。但是，它本身不提供额外的安全性保障----它不会保护你的系统免受代码故障或者任何类型的漏洞攻击。Audit服务对跟踪这些安全问题非常有用，并且有效帮助我们采取何种针对性的安全措施。 Audit由几个组件组成，每个组件都为整个框架提供重要功能。Linux audit(kauditd) ...

Linux audit详解

最新发布

05-07

<think>好的，我现在需要帮助用户解决auditd服务启动失败的问题，控制进程退出并带有错误代码。首先，用户提到了参考之前的配置，可能他们在配置过程中出现了错误，导致服务无法启动。我需要回顾之前提供的配置步骤，找出可能导致问题的点。首先，用户之前配置了审计规则，并修改了auditd.conf文件，添加了fqdn选项。然后他们将规则写入/etc/audit/rules.d/audit.rules，并重启了服务。现在服务启动失败，可能的原因包括配置语法错误、规则冲突、权限问题或者日志路径设置不正确。用户现在遇到的是控制进程退出，错误代码可能指向具体的系统问题。我需要指导用户查看systemctl status的详细输出，检查auditd的日志，确认是否有明显的错误信息，比如语法错误或者无法访问的路径。另外，用户提到使用FQDN标识，这需要确保系统的完全合格域名正确设置，否则可能导致auditd在启动时出现问题。同时，audit.rules文件中的规则是否正确，是否有拼写错误或者不支持的选项。可能的解决步骤包括：检查配置文件语法，使用auditctl -l验证规则是否正确加载，查看/var/log/audit/audit.log是否有启动错误，检查磁盘空间是否不足，以及SELinux是否阻止了auditd的正常运行。还需要考虑auditd的依赖服务是否正常，比如是否安装了必要的软件包，或者是否有其他进程占用了auditd所需的资源。此外，用户可能错误地修改了auditd.conf的其他参数，导致服务无法启动。最后，建议用户备份当前配置后，尝试逐步回滚更改，定位问题所在，或者重新安装auditd以恢复默认配置，再重新应用之前的规则，以测试是否配置错误导致的问题。</think>以下是针对auditd服务启动失败问题的分步解决方案： ### 一、查看详细错误信息 ```bash systemctl status auditd.service --no-pager -l journalctl -xeu auditd.service --since "5 minutes ago" ``` 输出示例： ``` auditd[1234]: Couldn't open audit rules file /etc/audit/rules.d/audit.rules: Syntax error ```[^1] ### 二、常见错误类型及解决方案 1. **规则语法错误** ```bash auditctl -l # 验证当前生效规则 augenrules --check # 检测规则文件语法 vi /etc/audit/rules.d/audit.rules # 检查错误行 ``` 2. **文件权限问题** ```bash ls -l /etc/audit/rules.d/audit.rules chmod 0640 /etc/audit/rules.d/audit.rules chown root:root /etc/audit/rules.d/audit.rules ``` 3. **磁盘空间不足** ```bash df -h /var/log/audit/ grep log_file /etc/audit/auditd.conf # 确认日志路径 ``` 4. **SELinux冲突** ```bash ausearch -m AVC | grep auditd restorecon -v /etc/audit/rules.d/audit.rules ``` ### 三、深度排查流程 1. 使用调试模式启动： ```bash auditd -d # 前台调试模式 ``` 2. 检查内核支持： ```bash grep CONFIG_AUDIT /boot/config-$(uname -r) ``` 3. 验证配置参数： ```bash grep -E 'max_log_file|num_logs' /etc/audit/auditd.conf ``` ### 四、恢复默认配置 ```bash cp /usr/lib/systemd/system/auditd.service /etc/systemd/system/ systemctl daemon-reload ``` ### 五、日志分析要点检查/var/log/messages中相关条目： ``` Aug 10 14:00:00 hostname auditd[1234]: auditd error sending au_to... ``` 可能指向网络审计配置错误[^2]