Masalahnya
Sebuah OS Linux gagal boot, dari log konsol kita dapat melihat semua berjalan dengan baik di awal, kernel dimuat dan skrip init berjalan dengan baik. Tapi tiba-tiba OS Linux mati (menerima sinyal TERM) setelah daemon auditd dimulai.
... dracut: Switching root mount: mount point /proc/bus/usb does not exist Welcome to Oracle Linux Server Starting udev: udev: starting version 147 (snip) Mounting local filesystems: EXT4-fs (xvda1): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-4): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-6): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-9): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-5): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-8): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-3): mounted filesystem with ordered data mode. Opts: (null) EXT4-fs (dm-2): mounted filesystem with ordered data mode. Opts: (null) [ OK ] Enabling local filesystem quotas: [ OK ] Enabling /etc/fstab swaps: Adding 16777212k swap on /dev/mapper/vg_ol68-LogVol08. Priority:-1 extents:1 across:16777212k SS [ OK ] Entering non-interactive startup Starting OVM guest daemon: [ OK ] Calling the system activity data collector (sadc)... Starting monitoring for VG vg_ol68: 10 logical volume(s) in volume group "vg_ol68" monitored [ OK ] NET: Registered protocol family 10 Bringing up loopback interface: [ OK ] Bringing up interface eth0: Determining if ip address x.x.x is already in use for device eth0... [ OK ] Starting auditd: type=1305 audit(1500420382.015:3): audit_pid=1626 old=0 auid=4294967295 ses=4294967295 res=1 init: rc main process (1341) killed by TERM signal [ OK ]
Dikonfirmasi tidak ada masalah panik kernel yang terjadi. OS Linux telah berjalan dengan baik selama berhari-hari. Tidak ada operasi/perubahan buatan manusia sebelum masalah.
Solusinya
Biasanya OS Linux tidak akan mati sendiri. Tetapi beberapa aplikasi/utilitas melakukannya. Karena setiap kali sinyal TERM diterima saat daemon auditd dimulai, kami menemukan bahwa daemon auditd memiliki fitur untuk menghentikan OS Linux dalam beberapa situasi tertentu.
Item berikut di “man auditd.conf” akan mematikan OS Linux ketika nilai disetel ke “halt”.
- spasi_kiri_aksi
- admin_space_left_action
- disk_full_action
- disk_error_action
OS Linux dalam hal ini memang memiliki pengaturan "halt" tersebut.
# cat /etc/audit/auditd.conf | grep halt admin_space_left_action = halt disk_full_action = halt disk_error_action = halt
Dan volume /var/log/audit hanya memiliki ruang 6MB yang tersedia.
/dev/mapper/vg_LogVol05 16040 428304 61524 88% /var/log/audit
Ini perilaku yang diharapkan ketika auditd menemukan masalah ruang atau kesalahan disk, silakan periksa OS Linux yang sesuai. Jika Anda tidak ingin auditd untuk mematikan OS Linux, Anda dapat mengubah "halt" menjadi "syslog", silakan lihat "man auditd.conf" untuk lebih jelasnya.
# man auditd.conf