我正在尝试创建一个启用systemd的docker容器并在其上安装auditd。
我正在使用dockerhub中提供的标准centos/systemd图像。
但是,当我尝试开始审核时,它会失败。
这是我创建并进入docker容器的命令列表:
docker run -d --rm --privileged --name systemd -v /sys/fs/cgroup:/sys/fs/cgroup:ro centos/systemd
docker exec -it systemd bash
现在,在Docker容器中:
yum install audit
systemctl start auditd
我收到以下错误:
Job for auditd.service failed because the control process exited with error code. See "systemctl status auditd.service" and "journalctl -xe" for details.
然后我跑:
systemctl status auditd.service
我正在获取此信息:
auditd[182]: Error sending status request (Operation not permitted)
auditd[182]: Error sending enable request (Operation not permitted)
auditd[182]: Unable to set initial audit startup state to 'enable', exiting
auditd[182]: The audit daemon is exiting.
auditd[181]: Cannot daemonize (Success)
auditd[181]: The audit daemon is exiting.
systemd[1]: auditd.service: control process exited, code=exited status=1
systemd[1]: Failed to start Security Auditing Service.
systemd[1]: Unit auditd.service entered failed state.
systemd[1]: auditd.service failed.
你们对为什么会这样有任何想法吗?
谢谢。
答案 0 :(得分:1)
查看此discussion:
目前,auditd只能在容器内用于汇总 其他系统的日志。它不能用于获取与 容器或主机操作系统。如果只想聚合,则设置 auditd.conf中的local_events = no。
容器支持仍在开发中。
另请参见this:
local_events 此yes / no关键字指定是否包括本地事件。通常,您需要本地事件,因此默认值为“是”。当您只想汇总来自网络的事件时,将其设置为no的情况。目前,如果审核守护程序正在容器中运行,这将非常有用。此选项只能在守护程序启动时设置一次。重新加载配置文件无效。
因此至少在Date: Thu, 19 Jul 2018 14:53:32 -0400,此功能不受支持,必须等待。