監査デーモンによる最悪のシナリオ
[linux]
監視システムから、「DBサーバの/var 以下のディスク容量が残り少ないよ」というメールが届いたので見てみると、監査デーモン(audit)のログが思いっきり肥大化していた。のわー。
とりあえず、以下のページを参考に、ログ(save.*)を削除して、監査デーモンを停止してみた。監査デーモンじゃなくても、ちゃんと別経路で不正アクセスのログは取れるようにしているからね。
ペンギンさぁ~ん、遊びましょぉ~ - LauS(Linux Auditing System)のaudit
hamastaの日記 - CentOS ログイン不能
どうも RedHat ES3 の監査デーモンにはバグがあるらしく、ログがディスク容量を食い潰すとログインすらできない状況に陥ってしまうようだ。そのくせ、デフォルトで動作することになっている。だから、何も意識しないでサーバーを稼動させ続けていると、いつかサーバにログインできなくなるという最悪の結果が待っている。SSHログインはもちろん、コンソールログインすらできない(はず)。そうなったら、再起動以外に、打つ手なし。ガーン。
自宅サーバだったらログインできなくなっても再起動できるかもしれないけど、ミッションクリティカルな環境では、そんなこと言っていられない。まあ、そんなシステム運用するぐらいなら、監視デーモンに翻弄されることなんて無いだろうけど。
デフォルトで動いているデーモンは、もう一回見直した方が良いかもなあ。危ない、危ない。
Posted by dT by 18:14
トラックバック
このエントリーのトラックバックURL
http://www.deftrash.com/admin/mt/mt-tb.cgi/403