auditd サービスを開始しようとすると、次のエラーが発生します。
auditctl[2144]:Error - audit support not in kernel
auditctl[2144]:Cannot open netlink audit socket
auditctl[2144]:Started Security Auditing Service.
systemd[1]:auditd.service: main process exited, code=exited, status=1/FAILURE
systemd[1]:Unit auditd.service entered failed state.
ツールのカーネル設定ファイル/モジュールは何ですかauditctl?カーネルをアップグレードできません。
答え1
これはCONFIG_AUDITカーネルに設定されておらず、カーネルを変更したり、少なくとも一部のブートパラメータを編集しなくても操作を実行できないことを意味します。
必要になります。
- ディストリビューションプロバイダから監査サポートカーネルをダウンロードするか、ディストリビューションがその
CONFIG_AUDITカーネルを提供していない場合は、有効にしてカーネルをコンパイルします。 - カーネルがアクティブ
CONFIG_AUDITにコンパイルされている場合(下記参照)、カーネルパラメータを追加しますaudit=1。GRUB自動起動。編集するファイルです。- これは単なる例であることに注意してください。 GRUB以外のブートローダを使用している場合は、デフォルトのカーネルエントリまたはすべてのカーネルエントリにカーネルオプションを追加する方法を学ぶために、そのドキュメントを調べる必要があります。例えば、
systemd-bootoptions=これを実行して項目にアクティブにするパラメータがあります。
- これは単なる例であることに注意してください。 GRUB以外のブートローダを使用している場合は、デフォルトのカーネルエントリまたはすべてのカーネルエントリにカーネルオプションを追加する方法を学ぶために、そのドキュメントを調べる必要があります。例えば、
現在のカーネルでこの機能が有効になっていることを確認するには:
Red HatとDebianベースのディストリビューションには通常、内部的に(カーネルバージョン)が追加された設定/bootファイルがあります。例:configuname -r
[root@host ~]# grep CONFIG_AUDIT /boot/config-`uname -r`
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_WATCH=y
CONFIG_AUDIT_TREE=y
このオプションでコンパイルされたディストリビューションでは、CONFIG_IKCONFIGカーネルモジュールをロードして、仮想ディレクトリ構造内の現在の構成ファイルの圧縮バージョンを取得できます。例:/procconfigs
[root@host ~]# modprobe configs ; gunzip -dc /proc/config.gz | grep AUDIT
# CONFIG_AUDIT is not set
# CONFIG_AUDIT_ARCH_COMPAT_GENERIC is not set