# [kauditd] A quoi sert-il ?

## dmganges

Bonjour,

Je poste ici une question déjà posée sur http://www.commentcamarche.net/forum/affich-13042340-kauditd

Si vous n'avez pas le temps de lire notre prose ; je cherche à quoi sert le [kauditd] que l'on trouve en faisant un ps -ef et qui semble correspondre aux paramètres du noyau CONFIG_AUDIT_ARCH et CONFIG_AUDIT.

 *Quote:*   

> Je suis sur Mandriva 2008 :
> 
> # ps -ef |grep audit
> 
> root 4434 2 0 06:05 ? 00:00:00 [kauditd]
> ...

 

de bob031

Bonjour,

effectivement c'est une bonne question !

j'ai exactement la même chose sur mandriva 2008.1 :

> root@mandriva[192.168.1.2]:/var/log# ps ax | grep audit

 4737 ?        S<     0:00 [kauditd]

17707 pts/1    R+     0:00 grep --color audit

> root@mandriva[192.168.1.2]:/var/log#

de la même manière, je ne vois pas d'ou il sort ! rien dans les services !

j'ai cherché un bon moment ....

cela pourrait-être lié à selinux (mais je n'ai pas selinux !!!).

l'autre piste serait alors celle-ci :

> root@mandriva[192.168.1.2]:/var/log# cat /usr/src/linux-2.6.24.7-desktop586-2mnb/.config | grep AUDIT

# CONFIG_AUDIT_ARCH is not set

CONFIG_AUDIT=y

CONFIG_AUDITSYSCALL=y

CONFIG_AUDIT_TREE=y

CONFIG_AUDIT_GENERIC=y

> root@mandriva[192.168.1.2]:/var/log#

http://cateee.net/lkddb/web-lkddb/AUDITSYSCALL.html

> root@mandriva[192.168.1.2]:/var/log# dmesg | grep audit

audit: initializing netlink socket (disabled)

audit(1245915138.308:1): initialized

> root@mandriva[192.168.1.2]:/var/log#

> root@mandriva[192.168.1.2]:/var/log# find / -name audit

/sys/module/apparmor/parameters/audit

/usr/src/linux-2.6.24.7-desktop586-1mnb/include/config/audit

/usr/src/linux-2.6.24.7-desktop586-2mnb/include/config/audit

> root@mandriva[192.168.1.2]:/var/log#

 *Quote:*   

> 
> 
> Déjà merci de ta réponse bob031,
> 
> - moi non plus je n'ai pas selinux
> ...

 

de bob031

- je n'ai pas non plus de fichier .config ni audit dans /usr/src

le fichier .config est le fichier de configuration du noyau

donc tu devrais avoir un fichier .config dans /usr/src/linux-xxx/

et si tu fais un grep AUDIT dans le fichier .config alors, on voit que l'audit est acivé dans le noyau ...

et ceci audit(1245924746.245:1c), d'après mes lectures, indique que ce charabia est en rapport avec le noyau ...

donc en recompilant le noyau sans activer audit, on verrait si c'est lié ou pas ... mais

1) j'ai pas envie de recompiler mon noyau

2) je ne garantie pas des effets fâcheux qui pourraient subvenir suite à cette recompilation.

par contre, je n'ai aucun répertoire /etc/audit ... 

 *Quote:*   

> 
> 
> Bonjour, et pardon pour ma réponse tardive, je ne me connecte que le matin très tôt.
> 
> J'ai une Mandriva 2008 gratuite d'installée, je n'ai pas grand chose dans le répertoire /usr/src
> ...

 

 *Quote:*   

> 
> 
> Slt bob031,
> 
> à titre info dans le .config du noyau de ma Gentoo tous les CONFIG_AUDIT sont à "is not set".
> ...

 

MERCI d'avance à celles et ceux qui pourront nous éclairer et surtout satisfaire notre curiosité :

A quoi sert kauditd, comment ça s'exploite, doc, sites ... tout quoi   :Very Happy:   :Very Happy:   :Very Happy: 

----------

## Tuxicomane

C'est visiblement un thread du kernel, ça n'est pas un démon donc pas étonnant que tu ne trouve rien dans le FS à ce sujet  :Wink: 

À quoi il sert ? Aucune idée, mais du coup, la doc de Linux devrait être ton amie !

----------

## dmganges

Merci de ta réponse Tuxicomane,

Oui ça à l'air de coller de près au noyau, mais voila le peu de doc (les URL des mans) ne comble pas le peu qui est accessible à mon petit neurone...

----------

## xaviermiller

salut,

Quand on parle de la doc de linux, c'est dans /usr/src/linux/Documentation : une mine d'information  :Wink: 

----------

## dmganges

Ah, super,

MERCI

J'avais pas vu !

----------

