[devel] Помогите, пожалуйста, отстроить audit для трассировки запуска pppd
Eugine Kosenko
eugine.kosenko на gmail.com
Чт Ноя 6 17:55:38 MSK 2014
Прошу прощения, но сам я в audit не силен, и сейчас нет ни времени ни
желания с ним разбираться. Желательно быстрое решение в конкретной
ситуации.
Вот, возникла такая проблема:
https://bugzilla.altlinux.org/show_bug.cgi?id=30449
У других не повторяется, посоветовали протрассировать запуск pppd
через audit. Идея в том, чтобы поймать, какой процесс посылает сигнал
`SIGHUP' сразу после запуска pppd (хотя я подозреваю, что проблема
скорее в самом pppd, а не во "вражеских агентах").
После установки audit и быстрого вникания в README я понял, что нужно
сделать что-то вроде
# ./auditd
# ./auditctl -s
# ./auditctl -a always,exit -S <имя вызова>
# ifup ppp0
# ./auditctl -d always,exit -S <имя вызова>
после чего просмотреть результаты через ausearch.
Непонятно, какое имя вызова тут использовать? Как правильно вызвать
ausearch после этого?
Подробная информация о списке рассылки Devel