<br><font size=2 face="sans-serif">What I have currently, on disk full
the auditd will notify the kernel which sets up a falg "disk_full_flag".
During audit_log_start if the disk_full_flag is set the process will be
queued in a wait queue until auditd or auditctl reset the disk_full_flag,</font>
<br><font size=2 face="sans-serif">I can provide more details if needed.
This is the general method I am going to use to cover this CAPP requirement.</font>
<br><font size=2 face="sans-serif">Mounir</font>
<br>
<br><font size=2 face="sans-serif">Mounir Bsaibes<br>
Linux Security<br>
Tel:  (512) 838-1301<br>
Cell: (512) 762-9957<br>
Fax: (512) 838-8858<br>
e-mail: bsaibes@us.ibm.com</font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Klaus Weidner <klaus@atsec.com></b>
</font>
<br><font size=1 face="sans-serif">Sent by: linux-audit-bounces@redhat.com</font>
<p><font size=1 face="sans-serif">12/14/2004 03:48 PM</font>
<table border>
<tr valign=top>
<td bgcolor=white>
<div align=center><font size=1 face="sans-serif">Please respond to<br>
Linux Audit Discussion</font></div></table>
<br>
<td width=59%>
<table width=100%>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td valign=top><font size=1 face="sans-serif">Chris Wright <chrisw@osdl.org></font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td valign=top><font size=1 face="sans-serif">Linux Audit Discussion <linux-audit@redhat.com></font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td valign=top><font size=1 face="sans-serif">Re: best way to audit in
vfs</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><font size=2><tt>On Tue, Dec 14, 2004 at 01:28:11PM -0800, Chris Wright
wrote:<br>
> * Klaus Weidner (klaus@atsec.com) wrote:<br>
> > I think this is the fundamental disagreement here - if you want
to filter<br>
> > audit records based on object identity, you need to have the
object<br>
> > identity information available when applying the filter rules.
If you<br>
> > want to do the filtering in the kernel, there isn't really any<br>
> > alternative to storing this information in kernel space.<br>
> <br>
> Hmm, it's been a while since I looked at CAPP audit requirements,
but<br>
> doesn't it require action if log is full?  E.g., possibly not
allowing<br>
> request to complete?<br>
<br>
It does, but this does not need to be instantaneous. The current plan is<br>
that auditd notifies the kernel if it detects an "out of disk space"<br>
condition, and this will tell the kernel that it shouldn't queue any<br>
additional records.<br>
<br>
When the in-kernel queue is full, any system calls that need to generate<br>
an audit record block and wait for space to become available again. (BTW,<br>
this may be an argument against generating audit records at arbitrary<br>
places in the kernel, since such waiting may not be possible there.)<br>
<br>
CAPP requires that the lossage of audit data has been minimized by the<br>
developer and clearly documented. Losing a couple of records if the disk<br>
is full and the system then crashes is acceptable from a CAPP point of<br>
view.<br>
<br>
-Klaus<br>
<br>
--<br>
Linux-audit mailing list<br>
Linux-audit@redhat.com<br>
http://www.redhat.com/mailman/listinfo/linux-audit<br>
</tt></font>
<br>