Redhat AS3 U6 不能登录，无论本机还是SSH

guyanhanzhi

问题信息：
   1，您的系统Red Hat Enterprise Linux AS release 3 (Taroon Update 6)。
   2，您的故障现象为系统启动一段时间后，不能登录，无论从本机和远程。
   2，您的系统内核中审核子系统LauS (Linux Auditing System)已经启用，
      因为您的messages里有“Feb 25 13:06:10 dzyxlrm kernel: audit subsystem ver 0.1 initialized”。
   3，现在您的系统里auditd服务是off的。
   4，由于以前的messages已经被清空，故不能准确看到出错的相关信息。（经与您电话确认，应该有output error字样）。

   LauS (Linux Auditing System)是在AS3 u2里初次出现的，相关介绍请参考以下链接的相关部分：
http://www.redhat.com/docs/manuals/enterprise/RHEL-3-Manual/release-notes/as-amd64/RELEASE-NOTES-U2-x86_64-en.html
在您的系统 /etc/audit/audit.conf里是否有一句类似notify          = "/usr/sbin/audbin -S /var/log/audit.d/save.%u -C -T 20%";
当包含/var/log/audit.d/的磁盘剩余空间小于20%时，auditd将悬挂起来，相关的可审核操作都不能进行了，如登录。这不算是一个bug，只是默认的配置需要根据
您的需要更改。




    您可以采取的措施：
       1, 如果您不需要审核信息，禁用audtid服务 ("chkconfig --del auditd"),系统性能会有所提高. 如果想要彻底禁用内核中的audit，可以删除 /dev/audit文件，重新启动。
          以后可以通过在grub.conf 里kernel行最后加入audit=1来启用。
       2，如果您不介意丢失审核数据，注释掉默认的audit.conf出错动作:
           error {
        #          action {
        #                  type = suspend;
        #                 };
        如果磁盘空间超过限制，auditd写syslog错误消息，而不进入悬挂模式，随后的审核记录都会被丢弃；

       3，如果想自动保留审核数据并把它们转移到别的分区，请修改
              notify = "/usr/sbin/audbin -S /var/log/audit.d/save.%u -C -T 20% -N 'mv %f /backup'"; （/backup 是另外您想保存数据的分区）

       4，如果想自动删除较老的审核数据，请修改
            notify = "/usr/sbin/audbin -S /var/log/audit.d/save.%u -C -T 20% -N 'rm -f %f'";

       5, 您也可以设置相关审核策略，只审核你需要的动作。来降低审核数据的增长速度。

    更多信息请参考相关手册man laus; man audit.conf; man auditd; man audit; man audbin.

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/11408/showart_252106.html