在centos码头容器中运行auditd时出错:“无法将初始审计启动状态设置为‘启用’,退出”
在centos码头容器中运行auditd时出错:“无法将初始审计启动状态设置为‘启用’,退出”
提问于 2018-11-15 01:49:54
我正在尝试创建一个启用systemd的码头容器,并在其上安装auditd。
我使用的是码头枢纽中提供的标准码头枢纽映像。但当我试图开始审计的时候,它失败了。
下面是我为创建和进入docker容器所做的命令列表:
docker run -d --rm --privileged --name systemd -v /sys/fs/cgroup:/sys/fs/cgroup:ro centos/systemd
docker exec -it systemd bash现在,在码头集装箱内:
yum install audit
systemctl start auditd我收到以下错误:
Job for auditd.service failed because the control process exited with error code. See "systemctl status auditd.service" and "journalctl -xe" for details.然后我跑:
systemctl status auditd.service我得到了这个信息:
auditd[182]: Error sending status request (Operation not permitted)
auditd[182]: Error sending enable request (Operation not permitted)
auditd[182]: Unable to set initial audit startup state to 'enable', exiting
auditd[182]: The audit daemon is exiting.
auditd[181]: Cannot daemonize (Success)
auditd[181]: The audit daemon is exiting.
systemd[1]: auditd.service: control process exited, code=exited status=1
systemd[1]: Failed to start Security Auditing Service.
systemd[1]: Unit auditd.service entered failed state.
systemd[1]: auditd.service failed.你们知道为什么会发生这种事吗?
谢谢。
回答 1
Stack Overflow用户
回答已采纳
发布于 2018-11-15 02:35:03
参见此讨论
目前,auditd只能在容器内用于聚合来自其他系统的日志。它不能用于获取与容器或主机OS相关的事件。如果您只想聚合,那么在local_events=no中设置auditd.conf。货柜支援仍在发展中。
还请参见这
local_events这个是/否关键字指定是否包含本地事件。通常,您需要本地事件,因此默认值是肯定的。当您只希望从网络聚合事件时,就会将此设置为“否”。目前,如果审计守护进程正在容器中运行,这是非常有用的。此选项只能在守护进程启动时设置一次。重新加载配置文件没有任何效果。
因此,至少在Date: Thu, 19 Jul 2018 14:53:32 -0400,这个功能不支持,不得不等待。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/53311314
复制相关文章
相似问题
腾讯云开发者
