Проблема
Загрузка ОС Linux не удалась, из журнала консоли мы видим, что все идет хорошо в самом начале, ядро загружено, и скрипты инициализации (init ) работают нормально.
Но внезапно ОС Linux выключается (получая сигнал TERM) после запуска демона auditd.
... dracut: Switching root mount: mount point /proc/bus/usb does not exist Welcome to Oracle Linux Server Starting udev: udev: starting version 147 (snip) Mounting local filesystems: EXT4-fs (xvda1): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-4): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-9): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-5): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-8): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-3): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-2): mounted filesystem with ordered data mode. Opts: (null) [ OK ] Enabling local filesystem quotas: [ OK ] Enabling /etc/fstab swaps: Adding 16777212k swap on /dev/mapper/vg_ol68-LogVol08. Priority:-1 extents:1 across:16777212k SS [ OK ] Entering non-interactive startup Starting OVM guest daemon: [ OK ] Calling the system activity data collector (sadc)... Starting monitoring for VG vg_ol68: 10 logical volume(s) in volume group "vg_ol68" monitored [ OK ] NET: Registered protocol family 10 Bringing up loopback interface: [ OK ] Bringing up interface eth0: Determining if ip address x.x.x is already in use for device eth0... [ OK ] Starting auditd: type=1305 audit(1500420382.015:3): audit_pid=1626 old=0 auid=4294967295 ses=4294967295 res=1 init: rc main process (1341) killed by TERM signal [ OK ]
Подтверждено, что не возникла проблема типа kernel panic.
Операционная система Linux работала хорошо в течение нескольких дней.
Решение
Обычно ОС Linux не выключается сама.
Но некоторые приложения / утилиты делают это.
Поскольку каждый раз, когда при запуске демона auditd был получен сигнал TERM, мы обнаружили, что у демона auditd есть возможность останавливать ОС Linux в определенных ситуациях.
Следующие пункты в «man audd.conf» отключат ОС Linux, если установить значение «halt».
- space_left_action
- admin_space_left_action
- disk_full_action
- disk_error_action
В этом случае ОС Linux имеет такие настройки «halt».
# cat /etc/audit/auditd.conf | grep halt admin_space_left_action = halt disk_full_action = halt disk_error_action = halt
И объем /var/log/audit имеет только 6 МБ свободного места.
/dev/mapper/vg_LogVol05 16040 428304 61524 88% /var/log/audit
Это ожидаемое поведение, когда auditd обнаружил проблему с пространством или ошибкой диска.
Если вы не хотите, чтобы auditd выключал ОС Linux, вы можете изменить «halt» на «syslog», пожалуйста, обратитесь к «man auditd.conf» за более подробной информацией.
# man auditd.conf
