• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Auditd und Selinux:

revealed

Guru
Hallo!

Nach längerem möchte ich euch mal wieder mit einer Frage belästigen :D

Und zwar Kennt man ja eventuell Selinux. Ich hab OpenSuSE 11.1 32 Bit. Ich weiss, dass auf meinem Rechner kein Selinux enabled ist. Eines weiss ich aber. Mein Computer schickt mir via Cron hier und da einen Logdigest und einen Daily security report.

Dabei fällt mir folgendes auf:
 
Code:
--------------------- Selinux Audit Begin ------------------------ 

  Number of audit daemon starts: 6 
 
  Number of audit daemon stops: 5 
 
 **Unmatched Entries** 
  Error sending signal_info request (Operation not supported)
  Error sending signal_info request (Operation not supported)
  Error sending signal_info request (Operation not supported)
  Error sending signal_info request (Operation not supported)
  Error sending signal_info request (Operation not supported)
 
 ---------------------- Selinux Audit End -------------------------

... Nachdem Auditd 6x gestartet wurde und nur 5 x gestoppt, vermute ich aufgrund der Anzahl an Meldungen, dass diese Meldung beim Beenden zustande kommt?

Ansonsten sieht der ganze Report sehr ordentlich aus. Im großen und ganzen. Hier und da hab ich ein paar fragen wie diese hier.

Was ist das? Kann ich auditd irgendwie helfen diese Meldung loszuwerden? Ich vermute, es hat mit Selinux zu tun, welches aber garnicht verwendet wird. Weil mein OS aufgrund der Struktur schon mal vom Dateisystem her nicht grundlegend für die Nutzung vorbereitet wurde. Auch sonst ersähe ich mir nur marginal Sinn darin, da ich eh sehr oft Aktualisierungen durchziehe.

Kann mir jemand sagen, welche Operation das ist, wo ich das eventuell dem auditd mitteilen kann oder den Dorn aus der Pfote ziehen kann?

Vielen Dank für die Hilfe!

Gruß,

R

PS.: IN /var/log/messages sieht eine Meldung so aus:
Code:
May  9 15:43:32 wild-thing pure-ftpd: (?@192.168.0.2) [INFO] New connection from 192.168.0.2
May  9 15:43:32 wild-thing pure-ftpd: (?@192.168.0.2) [INFO] Logout.
May  9 15:45:31 wild-thing auditd[3640]: Error sending signal_info request (Operation not supported)
May  9 15:45:31 wild-thing auditd[3640]: The audit daemon is exiting.
May  9 15:45:31 wild-thing auditd[29309]: Started dispatcher: /sbin/audispd pid: 29311
May  9 15:45:31 wild-thing audispd: priority_boost_parser called with: 4
May  9 15:45:31 wild-thing audispd: af_unix plugin initialized
May  9 15:45:31 wild-thing audispd: audispd initialized with q_depth=80 and 1 active plugins
May  9 15:45:31 wild-thing auditd[29309]: Init complete, auditd 1.7.7 listening for events (startup state disable)
May  9 15:48:32 wild-thing pure-ftpd: (?@192.168.0.2) [INFO] New connection from 192.168.0.2
May  9 15:48:32 wild-thing pure-ftpd: (?@192.168.0.2) [INFO] Logout.

Also ich hätte hier nen Codeschnippsel gefunden der jetz erstmal nichts zur Sache tut:
Code:
} elsif (( $ThisLine =~ /netlink socket too busy/) or 
             ( $ThisLine =~ /Error sending signal_info request \(Invalid argument\)/) or 
	     ( $ThisLine =~ /major=[0-9]+ name_count=[0-9]+: freeing multiple contexts \([1-2]\)/)) {
      $ThisLine =~ s/audit\(:[0-9]+\): //;
      $BugLog{$ThisLine}++;
Aber lese ich das so, dass "Falls der Netlink Socket zu beschäftigt ist, eine solche Meldung auftreten kann, was wiederum mit der queueing Einstellung des Auditd im Zusammenhang mit Systemlast stehen könnte?"

Oder versucht der ne Netzwerkverbindung aufzubauen?

Hier noch meine auditd.conf:
Code:
#
# This file controls the configuration of the audit daemon
#

log_file = /var/log/audit/audit.log
log_format = RAW
log_group = root
priority_boost = 4
flush = INCREMENTAL
freq = 20
num_logs = 4
disp_qos = lossy
dispatcher = /sbin/audispd
name_format = HOSTNAME
##name = mydomain
max_log_file = 5
max_log_file_action = ROTATE
space_left = 2048
space_left_action = SYSLOG
action_mail_acct = root
admin_space_left = 1024
admin_space_left_action = SUSPEND
disk_full_action = SUSPEND
disk_error_action = SUSPEND
##tcp_listen_port =
tcp_listen_queue = 5
##tcp_client_ports = 1024-65535
tcp_client_max_idle = 0
 
Oben