Смоленск 1.6 systemd-journal грузит процессор

GEOSP

New member
Сообщения
2
#1
Система что называется "из коробки". Kraftway привезли много компов, устанавливаем АРМ'ы, дефолтный пользователь user при входе в систему с нуля грузит любой компьютер на 100% изначально вместе с rsyslogd забивали жёсткий до упора логами в "/var/log"[user.log | messages и в syslog] файлы разрастались неимоверно. Это дело устранили временно, чтобы разобраться что к чему. rsyslogd заодно стал меньше грузить, но зато теперь на первое место вышел systemd-journal. В логах при этом постоянно сыпалось что-то вроде:
Bash:
Aug 21 11:50:19 astra audispd: node=astra type=SYSCALL msg=audit(1597999819.485:13801501): arch=c000003e syscall=82 success=yes exit=0 a0=75db931e8a10 a1=75db88002180 a2=75db88000078 a3=40 items=5 ppid=1 pid=691 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="in:imjournal" exe="/usr/sbin/rsyslogd" key="root_action"
Aug 21 11:50:19 astra audispd: node=astra type=CWD msg=audit(1597999819.485:13801501): cwd="/"
Aug 21 11:50:19 astra audispd: node=astra type=PATH msg=audit(1597999819.485:13801501): item=0 name="/var/spool/rsyslog/" inode=12845712 dev=08:02 mode=040700 ouid=0 ogid=0 rdev=00:00 nametype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
Aug 21 11:50:19 astra audispd: node=astra type=PATH msg=audit(1597999819.485:13801501): item=1 name="/var/spool/rsyslog/" inode=12845712 dev=08:02 mode=040700 ouid=0 ogid=0 rdev=00:00 nametype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
Aug 21 11:50:19 astra audispd: node=astra type=PATH msg=audit(1597999819.485:13801501): item=2 name="/var/spool/rsyslog/imjournal.state.tmp" inode=12845069 dev=08:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
Aug 21 11:50:19 astra audispd: node=astra type=PATH msg=audit(1597999819.485:13801501): item=3 name="/var/spool/rsyslog/imjournal.state" inode=12852567 dev=08:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=DELETE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
Aug 21 11:50:19 astra audispd: node=astra type=PATH msg=audit(1597999819.485:13801501): item=4 name="/var/spool/rsyslog/imjournal.state" inode=12845069 dev=08:02 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=CREATE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
Aug 21 11:50:19 astra audispd: node=astra type=PROCTITLE msg=audit(1597999819.485:13801501): proctitle=2F7573722F7362696E2F727379736C6F6764002D6E
Aug 21 11:50:19 astra audispd: node=astra type=EOE msg=audit(1597999819.485:13801501):
При этом сам systemd-journal в /var/log ничего не пишет, чтоб например постоянно анализировать какой-либо файл. По идее он постоянно реагирует на действия от root. Посмотрел его конфиг в "/etc/systemd" там куча всего позакомиченно, попытался его поправить, выставлял и нагрузку на цп и ведение лога и отключал его, пробовал разные настройки аудита групп пользователей, всё равно пока не очень понятно откуда ноги растут.
Ну и самое не понятное, так это то, что такой эффект "из коробки". Собстно машинки КС45, т.е. тоже отлаженная сборка уже по идее и вот тут такое, мб так и надо?
 

GEOSP

New member
Сообщения
2
#3
Может, по гарантии обратиться?
...нуу для начала я всё таки обратился к логике и поправил конфиг к audispd, методом тыка, и всё стало на свои места)
А вот вопрос всё равно остаётся - Эт чё было такое?
т.е. в лог шла куча сообщений об успехе доступа к различным операциям от root, на что systemd-journald безустанно реагировал на audispd, который всё это и фиксировал и выдавал, что правится по пути "/etc/audit" вместе с его дубликатами и правил и конфига. И вот там вот в правилах прям дофига всего, чуть ли не к любому по сути приложению доступ фиксируется. Это всё ради защиты пользователя? ...мб это не стоило убирать? ...просто как то странно это выглядит.
 

oko

New member
Сообщения
524
#4
to GEOSP
Поставка Kraftway с преднастройками согласовывалась с вашей службой безопасности (службой ЗГТ)? Или была продиктована требованиями вышестоящей инстанции / иными решениями?
Если нет, imho, отключайте смело и заодно дайте по рукам Kraftway-специалистам, которые "свое видение подсистемы аудита событий" запихнули в рабочие решения. Фирма-сборщик, из кожи вон лезущая в вопросы создания АСЗИ и поставки АРМ в защищенном исполнении (за конский ценник, ага) - это печаль и ужас в масштабах страны...