[CentOS-de] Xorg muellt /var/log/Xorg.0.log mit AUDIT-Meldungen zu (bis zum Crash)

Frank Thommen frank.thommen at embl-heidelberg.de
Do Okt 3 11:17:07 UTC 2013 

Danke.  Leider hilft mir das im Moment nicht weiter auf der Suche nach 
der Ursache fuer die Logeintrage in Zehntelsekundentakt.

frank


On 10/03/2013 08:43 AM, Markus Frei wrote:
> Hallo,
>
>        * vielleicht hilft Dir das, zum Thema Authorisierung bei X:
>          http://en.wikipedia.org/wiki/X_Window_authorization#Cookie-based_access
>
>
> Gruss
> Markus
>
>
> On Mit, 2013-10-02 at 15:49 +0200, Frank Thommen wrote:
>> Hallo zusammen,
>>
>> auf einer CentOS 6.4-Machine habe ich das Problem, dass Xorg das
>> /var/log/Xorg.0.log mit AUDIT-Meldungen zumuellt schneller als man lesen
>> kann.  In vier Stunden haben sich bereits ueber 160 MB Daten angehaeuft
>> und nach spaetestens 1-2 Tagen stuerzt der Rechner ab, weil /var volllaeuft.
>>
>> Ein kleiner Ausschnitt von /var/log/Xorg.0.log hier:
>>
>> [...]
>> [ 24272.458] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [ 24272.487] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
>> from local host ( uid=9435 gid=577 pid=24951 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.490] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [ 24272.500] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
>> [ 24272.516] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
>> from local host ( uid=9435 gid=577 pid=24948 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.516] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected
>> from local host ( uid=9435 gid=577 pid=24952 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.521] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [ 24272.549] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
>> from local host ( uid=9435 gid=577 pid=24957 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.552] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [ 24272.564] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
>> [ 24272.575] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
>> from local host ( uid=9435 gid=577 pid=24954 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.577] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected
>> from local host ( uid=9435 gid=577 pid=24958 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.585] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [ 24272.612] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
>> from local host ( uid=9435 gid=577 pid=24963 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.616] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [ 24272.628] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
>> [ 24272.630] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
>> from local host ( uid=9435 gid=577 pid=24960 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.633] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected
>> from local host ( uid=9435 gid=577 pid=24964 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.644] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [ 24272.673] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
>> from local host ( uid=9435 gid=577 pid=24969 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.679] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [ 24272.691] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 disconnected
>> [ 24272.692] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 connected
>> from local host ( uid=9435 gid=577 pid=24966 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.697] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 30 connected
>> from local host ( uid=9435 gid=577 pid=24970 )
>>     Auth name: MIT-MAGIC-COOKIE-1 ID: 572
>> [ 24272.711] AUDIT: Wed Oct  2 15:41:44 2013: 2625: client 28 disconnected
>> [...]
>>
>> Die Client-Nummern sind immer wieder dieselben, aber der Versuch, den
>> ausloesenden Prozessen auf die Schliche zu kommen scheitert daran, dass
>> der Prozess schon beendet ist wenn die Meldungen im Log auftauchen.
>>
>> Xorg laeuft mit folgenden Optionen:
>> /usr/bin/Xorg :0 -nr -verbose -audit 4 -auth
>> /var/run/gdm/auth-for-gdm-jQ4DVP/database -nolisten tcp vt1
>>
>>
>>
>> Fragen:
>>
>>     * Wie kriegt man heraus, welche Prozesse fuer die Meldungen
>>       verantwortlich sind?
>>
>>     * Wie kann man das Auditing komplett abschalten (ich kann
>>       nirgends eine Einstellung finden, die den Audit-Level auf 4
>>       setzt)
>>
>>     * Wofuer ist das Auditing ueberhaupt gut?
>>
>>
>> Auf keinem anderen CentOS-Rechner (weder 5 noch 6) haben wir dieses
>> Problem, obwohl alle Rechner mehr oder weniger in der gleichen Art
>> verwendet werden.
>>
>> Gruss
>> frank
>> --
>> _______________________________________________
>> CentOS-de mailing list
>> CentOS-de at centos.org
>> http://lists.centos.org/mailman/listinfo/centos-de
>