如何在 Arch linux 3.12 内核中启用审计框架?

【问题标题】:how to enable audit framework in arch linux 3.12 kernel?如何在 Arch linux 3.12 内核中启用审计框架?
【发布时间】:2015-04-26 05:39:59
【问题描述】:

我想在我最新的 Arch linux 上使用 audit framework,但是在控制台中运行 sudo auditctl -w /home/ 给了我

Error - audit support not in kernel Cannot open netlink audit socket

我尝试通过内核启动参数设置审计标志启用当然审计:GRUB_CMDLINE_LINUX_DEFAULT="quiet audit=1" 但重启后没有任何变化,仍然是同样的错误。

有人知道怎么解决吗?

【问题讨论】:

  • 你能在引导内核的/proc/cmdline 中看到"audit=1" 吗?
  • 是的,BOOT_IMAGE=/boot/vmlinuz-linux root=UUID=59c7ed3d-5c1a-464e-8da0-6bcf76bc19d2 rw quiet audit=1,还有一个错误,我有 3.18.2 内核。
  • audit= [KNL] 启用审计子系统 格式:{ "0" | "1" } (0 = disabled, 1 = enabled) 0 - 内核审计被禁用,直到下次重新启动才能启用 unset - 内核审计已初始化但被禁用,并将由用户空间 auditd 完全启用。 1 - 内核审计已初始化并部分启用,在 RAM 中最多存储 audit_backlog_limit 消息,直到用户空间 auditd 完全启用。
  • 可能你还需要在命令行中设置audit_backlog_limit=
  • audit_backlog_limit= [KNL] 设置审计队列大小限制。格式:(必须 >=0) 默认值:64

标签: linux linux-kernel monitoring audit archlinux


【解决方案1】:

使用 ABS 重新编译内核以获得审计支持。 您需要在配置文件中在makepkg -s 之前添加CONFIG_AUDIT=y

附:编译可能需要很长时间。

【讨论】:

  • 是的,我按照你的建议做了,使用 ABS arch linux 内核编译工具,谢谢。我只是忘记了这个问题,并没有自己回答。无论如何,审计框架在我的机器上给了我太差的性能,所以我用它消失了。
  • 我试图这样做是为了使用 e4rat。我
猜你喜欢
  • 2017-04-03
  • 1970-01-01
  • 2016-02-24
  • 2014-10-06
  • 1970-01-01
  • 2012-11-05
  • 1970-01-01
  • 1970-01-01
  • 2014-10-27
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode