Смоленск 1.4 Пропадают настройки аудита на файлах

[kostia]

Выставляем параметры аудита на файле
setfaud -s oxx /bin/ls
проверям
getfaud /bin/ls
getfaud: Удаляются начальные '/' из абсолютных путей
# file: bin/ls
oxx

Через какое-то время, но без перезагрузки ОС проверям еще раз
getfaud /bin/ls
getfaud: Удаляются начальные '/' из абсолютных путей
# file: bin/ls
Флаги аудита пропали.

Настройки в соответствии с https://wiki.astralinux.ru/pages/viewpage.action?pageId=3277614 сделали, но у нас атрибуты аудита пропадают даже без перезагрузки.

 

[ulv]

Не можем воспроизвести. Как смонтированы разделы? logrotate за это время не отрабатывает?

 

[kostia]

Смонтировано с опциями по умолчанию
/dev/disk/by-uuid/a0c31baa-8c9f-45c1-bf3b-2b72ed8cde68 on / type ext4 (rw,relatime,errors=remount-ro,data=ordered)
logrotate толкнул руками, в каталоге /etc/logrotate.d выполнил
logrotate -f *
Атрибуты аудита не удалились.
Сейчас запустил скрипт проверки атрибутов в цикле, посмотрю хотя бы ориентировочно через какое время они пропадут.

 

[kostia]

Вот как воспроизводится. Логинимся по ssh под рутом (может это и не важно). Устанавливаем на файл атрибуты аудита.

setfaud -s o:ox:ox /bin/ls

Отключаемся (разлогиниваемся). Ждем часа два, компьютер не перезагружаем. Опять логинимся по ssh рутом, проверям
getfaud /bin/ls
getfaud: Удаляются начальные '/' из абсолютных путей
# file: bin/ls

Атрибутов нет. Я в кронтаб вставил проверку раз в минуту
*/1 * * * * root getfaud /bin/ls >> /var/log/audcheck.log
*/1 * * * * root date >> /var/log/audcheck.log
Судя по логам audcheck.log атрибуты сбрасываются в 20-ю или 21-ю минуту каждого (или каждого второго) часа.
Никаких периодических заданий, выполняемых в это время, я не нашел (может плохо искал).
Напомню еще раз, версия Астры 1.4

 

[markjob]

А если обновить индекс через sudo updatedb не сбрасываются атрибуты?

 

[kostia]

а у меня locate и не стоит