커널 버전 3.12.14에서는 감사 도구가 작동하지 않습니다.

커널 버전 3.12.14에서는 감사 도구가 작동하지 않습니다.

auditd 서비스를 시작하려고 할 때 다음 오류가 발생합니다.

auditctl[2144]:Error - audit support not in kernel
auditctl[2144]:Cannot open netlink audit socket
auditctl[2144]:Started Security Auditing Service.
systemd[1]:auditd.service: main process exited, code=exited, status=1/FAILURE
systemd[1]:Unit auditd.service entered failed state.

도구의 커널 구성 파일/모듈은 무엇입니까 auditctl? 커널을 업그레이드할 수 없습니다.

답변1

이는 CONFIG_AUDIT커널에 설정되어 있지 않으며 커널을 변경하거나 최소한 일부 부팅 매개변수를 편집하지 않고는 작업을 수행할 수 없음을 의미합니다.

필요할 것이예요:

  • 배포판 공급자로부터 감사 지원 커널을 다운로드하거나, CONFIG_AUDIT배포판에서 해당 커널을 제공하지 않는 경우 활성화하여 커널을 컴파일하십시오.
  • 커널이 CONFIG_AUDIT활성화로 컴파일된 경우(아래 참조) 커널 매개변수를 추가하십시오 audit=1.GRUB 자동 부팅. 편집해야 할 파일입니다.
    • 이는 단지 예시일 뿐이라는 점에 유의하시기 바랍니다. GRUB 이외의 부트 로더를 사용하는 경우 기본 커널 항목이나 모든 커널 항목에 커널 옵션을 추가하는 방법을 알아보려면 해당 문서를 연구해야 합니다. 예를 들어,systemd-bootoptions=이 작업을 수행하고 항목에 활성화하는 매개변수가 있습니다 .

현재 커널에 이 기능이 활성화되어 있는지 확인하는 방법:

Red Hat 및 Debian 기반 배포판에는 일반적으로 내부적 으로 (커널 버전)이 추가 /boot된 구성 파일이 있습니다 . 예:configuname -r

[root@host ~]# grep CONFIG_AUDIT /boot/config-`uname -r`
CONFIG_AUDIT_ARCH=y
CONFIG_AUDIT=y
CONFIG_AUDITSYSCALL=y
CONFIG_AUDIT_WATCH=y
CONFIG_AUDIT_TREE=y

이 옵션으로 컴파일된 배포판에서는 CONFIG_IKCONFIG커널 모듈을 로드하여 가상 디렉터리 구조에 있는 현재 구성 파일의 압축 버전을 얻을 수 있습니다. 예:/procconfigs

[root@host ~]# modprobe configs ; gunzip -dc /proc/config.gz | grep AUDIT
# CONFIG_AUDIT is not set
# CONFIG_AUDIT_ARCH_COMPAT_GENERIC is not set

관련 정보