[CentOS-de] Xorg muellt /var/log/Xorg.0.log mit AUDIT-Meldungen zu (bis zum Crash)
Markus Frei
markus.frei at h-net.ch
Do Okt 3 06:43:06 UTC 2013
Hallo,
* vielleicht hilft Dir das, zum Thema Authorisierung bei X:
http://en.wikipedia.org/wiki/X_Window_authorization#Cookie-based_access
Gruss
Markus
On Mit, 2013-10-02 at 15:49 +0200, Frank Thommen wrote:
> Hallo zusammen,
>
> auf einer CentOS 6.4-Machine habe ich das Problem, dass Xorg das
> /var/log/Xorg.0.log mit AUDIT-Meldungen zumuellt schneller als man lesen
> kann. In vier Stunden haben sich bereits ueber 160 MB Daten angehaeuft
> und nach spaetestens 1-2 Tagen stuerzt der Rechner ab, weil /var volllaeuft.
>
> Ein kleiner Ausschnitt von /var/log/Xorg.0.log hier:
>
> [...]
> [ 24272.458] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.487] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24951 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.490] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.500] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected
> [ 24272.516] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24948 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.516] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected
> from local host ( uid=9435 gid=577 pid=24952 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.521] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.549] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24957 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.552] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.564] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected
> [ 24272.575] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24954 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.577] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected
> from local host ( uid=9435 gid=577 pid=24958 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.585] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.612] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24963 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.616] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.628] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected
> [ 24272.630] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24960 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.633] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected
> from local host ( uid=9435 gid=577 pid=24964 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.644] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.673] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24969 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.679] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [ 24272.691] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected
> [ 24272.692] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected
> from local host ( uid=9435 gid=577 pid=24966 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.697] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected
> from local host ( uid=9435 gid=577 pid=24970 )
> Auth name: MIT-MAGIC-COOKIE-1 ID: 572
> [ 24272.711] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected
> [...]
>
> Die Client-Nummern sind immer wieder dieselben, aber der Versuch, den
> ausloesenden Prozessen auf die Schliche zu kommen scheitert daran, dass
> der Prozess schon beendet ist wenn die Meldungen im Log auftauchen.
>
> Xorg laeuft mit folgenden Optionen:
> /usr/bin/Xorg :0 -nr -verbose -audit 4 -auth
> /var/run/gdm/auth-for-gdm-jQ4DVP/database -nolisten tcp vt1
>
>
>
> Fragen:
>
> * Wie kriegt man heraus, welche Prozesse fuer die Meldungen
> verantwortlich sind?
>
> * Wie kann man das Auditing komplett abschalten (ich kann
> nirgends eine Einstellung finden, die den Audit-Level auf 4
> setzt)
>
> * Wofuer ist das Auditing ueberhaupt gut?
>
>
> Auf keinem anderen CentOS-Rechner (weder 5 noch 6) haben wir dieses
> Problem, obwohl alle Rechner mehr oder weniger in der gleichen Art
> verwendet werden.
>
> Gruss
> frank
> --
> _______________________________________________
> CentOS-de mailing list
> CentOS-de at centos.org
> http://lists.centos.org/mailman/listinfo/centos-de