Re: [CentOS-de] Xorg muellt /var/log/Xorg.0.log mit AUDIT-Meldungen zu (bis zum Crash) [geloest]

Problem geloest: Ein Benutzer hatte Thunderbird (!) als "preferred Browser" konfiguriert. Sobald er in TB einen Link anklickte, landete das System offenbar in einer Endlosschlaufe, in der versucht wurde mit dem "preferred Browser" (aka TB) einen Link zu oeffnen, welcher versuchte mit dem "preferred Browser" (aka TB) einen Link zu oeffnen usw. usf. Das ergibt ca. 40 MB Audit-Zeilen/Stunde in /var/log/Xorg.0.log

Gruss frank

On 02.10.13 15:49, Frank Thommen wrote:

Hallo zusammen,

auf einer CentOS 6.4-Machine habe ich das Problem, dass Xorg das /var/log/Xorg.0.log mit AUDIT-Meldungen zumuellt schneller als man lesen kann. In vier Stunden haben sich bereits ueber 160 MB Daten angehaeuft und nach spaetestens 1-2 Tagen stuerzt der Rechner ab, weil /var volllaeuft.

Ein kleiner Ausschnitt von /var/log/Xorg.0.log hier:

[...] [ 24272.458] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [ 24272.487] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected from local host ( uid=9435 gid=577 pid=24951 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.490] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [ 24272.500] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected [ 24272.516] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected from local host ( uid=9435 gid=577 pid=24948 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.516] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected from local host ( uid=9435 gid=577 pid=24952 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.521] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [ 24272.549] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected from local host ( uid=9435 gid=577 pid=24957 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.552] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [ 24272.564] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected [ 24272.575] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected from local host ( uid=9435 gid=577 pid=24954 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.577] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected from local host ( uid=9435 gid=577 pid=24958 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.585] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [ 24272.612] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected from local host ( uid=9435 gid=577 pid=24963 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.616] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [ 24272.628] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected [ 24272.630] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected from local host ( uid=9435 gid=577 pid=24960 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.633] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected from local host ( uid=9435 gid=577 pid=24964 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.644] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [ 24272.673] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected from local host ( uid=9435 gid=577 pid=24969 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.679] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [ 24272.691] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 disconnected [ 24272.692] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 connected from local host ( uid=9435 gid=577 pid=24966 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.697] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 30 connected from local host ( uid=9435 gid=577 pid=24970 ) Auth name: MIT-MAGIC-COOKIE-1 ID: 572 [ 24272.711] AUDIT: Wed Oct 2 15:41:44 2013: 2625: client 28 disconnected [...]

Die Client-Nummern sind immer wieder dieselben, aber der Versuch, den ausloesenden Prozessen auf die Schliche zu kommen scheitert daran, dass der Prozess schon beendet ist wenn die Meldungen im Log auftauchen.

Xorg laeuft mit folgenden Optionen: /usr/bin/Xorg :0 -nr -verbose -audit 4 -auth /var/run/gdm/auth-for-gdm-jQ4DVP/database -nolisten tcp vt1

Fragen:

* Wie kriegt man heraus, welche Prozesse fuer die Meldungen
  verantwortlich sind?

* Wie kann man das Auditing komplett abschalten (ich kann
  nirgends eine Einstellung finden, die den Audit-Level auf 4
  setzt)

* Wofuer ist das Auditing ueberhaupt gut?

Auf keinem anderen CentOS-Rechner (weder 5 noch 6) haben wir dieses Problem, obwohl alle Rechner mehr oder weniger in der gleichen Art verwendet werden.

Gruss frank