Elimde bir gizem var. Bir gün /etc/rc5.d/S11auditdoldu /etc/rc5.d/K88auditdve hiç kimse bunun sorumluluğunu almıyor. Neredeyse başlı başına geldi gibi görünüyor, ki bu oldukça mantıklı ve biraz araştırma gerektiriyor.
Varsayılan Fedora 12 kurulumunu farz edersek, auditdkaldırılmış bir başlatma sırasına yol açan takip eylemlerinin yolları nelerdir? Şimdiye kadar kontrol ettim:
/var/log/messages Bir keresinde şeytanın düzgün şekilde yeniden başlatıldığını ve bir daha yüklenmediğini gösteriyor.
/var/log/audit/audit.logüzerinden ausearchaynı şeyi gösterir.
chkconfig | grep audit şu anda kapalı olduğunu, ancak yalnızca 5'inci çalışma düzeyinde olduğunu gösterir.
Şanssız bile denedim .bash_history.
lastayrıca kimsenin sshuzaktan giriş yapmak için kullanılmadığını da gösterir .
Peki neyi kaçırdım? Daha fazla bilgi için nereye bakmalı?