论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2013-08-26 23:37 |只看该作者 |倒序浏览

操作系统版本：redhat 6.4 /6.3/ 6.0/ 5.4/ 5.5
iptables 关闭
vsftpd安装并开启
selinux开启：enforcing
auditd服务：关闭
auditctl -e 1的状态下，在messages中能够看到有审计日志，带有audit标识
auditctl -e 0的状态下，messages与audit.log中无任何输出

曾经推理：正常情况下，如果开启了selinux与审计audit，然后使用ftp进行登录，输入错误用户名与密码，那么在出现错误过程中，audit会将日志写入audit.log，如果关闭了audit 服务，那么应该由selinux接管，然后写入messages，如果由selinux接管的，那么在写入messages中，标识应该有avc，可是现在没有，求解答，谢谢！

文库|博客

milujite

小富即安

论坛徽章:: 7

2楼 [报告]

发表于 2013-08-27 08:49 |只看该作者

setroubleshoot貌似是叫这个服务，启动了么。启动顺序应该是messagebus->audit->setroubleshoot。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

beryung

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2013-08-27 10:00 |只看该作者

已经启动了。今天又测试了一次，在启动auditd之后启动setroubleshootd进程，发现现在正常出现结果，带有setrouleshoot标志。可是现在当停止auditd之后，在messages中的错误信息却带有auditd标志。不知道是不是redhat 6改版之后这样回复 2# milujite