From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <545DABE0.9070201@altlinux.com> Date: Sat, 08 Nov 2014 08:36:32 +0300 From: Anton Farygin User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Thunderbird/31.0 MIME-Version: 1.0 To: devel@lists.altlinux.org References: In-Reply-To: Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [devel] =?utf-8?b?0J/QvtC80L7Qs9C40YLQtSwg0L/QvtC20LDQu9GD0Lk=?= =?utf-8?b?0YHRgtCwLCDQvtGC0YHRgtGA0L7QuNGC0YwgYXVkaXQg0LTQu9GPINGC0YA=?= =?utf-8?b?0LDRgdGB0LjRgNC+0LLQutC4INC30LDQv9GD0YHQutCwIHBwcGQ=?= X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sat, 08 Nov 2014 05:37:09 -0000 Archived-At: List-Archive: List-Post: On 06.11.2014 16:55, Eugine Kosenko wrote: > Прошу прощения, но сам я в audit не силен, и сейчас нет ни времени ни > желания с ним разбираться. Желательно быстрое решение в конкретной > ситуации. > > Вот, возникла такая проблема: > > https://bugzilla.altlinux.org/show_bug.cgi?id=30449 > > У других не повторяется, посоветовали протрассировать запуск pppd > через audit. Идея в том, чтобы поймать, какой процесс посылает сигнал > `SIGHUP' сразу после запуска pppd (хотя я подозреваю, что проблема > скорее в самом pppd, а не во "вражеских агентах"). > > После установки audit и быстрого вникания в README я понял, что нужно > сделать что-то вроде > > # ./auditd > # ./auditctl -s > # ./auditctl -a always,exit -S <имя вызова> > # ifup ppp0 > # ./auditctl -d always,exit -S <имя вызова> > > после чего просмотреть результаты через ausearch. > > Непонятно, какое имя вызова тут использовать? Как правильно вызвать > ausearch после этого? я б поправил запуск pppd в etcnet для отладки, что б он работал через autrace Ну а дальше поиск по pid - man ausearch auditd не забудьте запустить.