<br><font size=2><tt>On Tue, 2004-12-14 at 17:06, Mounir Bsaibes wrote:<br>
> What I have currently, on disk full the auditd will notify the kernel<br>
> which sets up a flag "disk_full_flag". During audit_log_start
if the<br>
> disk_full_flag is set the process will be queued in a wait queue until<br>
> auditd or auditctl reset the disk_full_flag,<br>
> I can provide more details if needed. This is the general method I
am<br>
> going to use to cover this CAPP requirement.<br>
> Mounir<br>
<br>
SELinux calls the audit subsystem from hard irq (e.g.<br>
file_send_sigiotask) and at times when kernel locks are held.</tt></font>
<br>
<br>
<br><font size=2 face="sans-serif">So what is a better solution, just kill
the process?</font>
<br><font size=2 face="sans-serif">I have changed the subject of this reply
to make it more meaningful to this discussion and to separate it  from
the audit in vfs discussion.</font>
<br>
<br><font size=2 face="sans-serif">Mounir Bsaibes<br>
Linux Security<br>
Tel:  (512) 838-1301<br>
Cell: (512) 762-9957<br>
Fax: (512) 838-8858<br>
e-mail: bsaibes@us.ibm.com</font>
<br>
<br>
<br>
<table width=100%>
<tr valign=top>
<td width=40%><font size=1 face="sans-serif"><b>Stephen Smalley <sds@epoch.ncsc.mil></b>
</font>
<br><font size=1 face="sans-serif">Sent by: linux-audit-bounces@redhat.com</font>
<p><font size=1 face="sans-serif">12/15/2004 10:08 AM</font>
<table border>
<tr valign=top>
<td bgcolor=white>
<div align=center><font size=1 face="sans-serif">Please respond to<br>
Linux Audit Discussion</font></div></table>
<br>
<td width=59%>
<table width=100%>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">To</font></div>
<td valign=top><font size=1 face="sans-serif">Linux Audit Discussion <linux-audit@redhat.com></font>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">cc</font></div>
<td valign=top>
<tr>
<td>
<div align=right><font size=1 face="sans-serif">Subject</font></div>
<td valign=top><font size=1 face="sans-serif">Re: best way to audit in
vfs</font></table>
<br>
<table>
<tr valign=top>
<td>
<td></table>
<br></table>
<br>
<br>
<br><font size=2><tt>On Tue, 2004-12-14 at 17:06, Mounir Bsaibes wrote:<br>
> What I have currently, on disk full the auditd will notify the kernel<br>
> which sets up a falg "disk_full_flag". During audit_log_start
if the<br>
> disk_full_flag is set the process will be queued in a wait queue until<br>
> auditd or auditctl reset the disk_full_flag,<br>
> I can provide more details if needed. This is the general method I
am<br>
> going to use to cover this CAPP requirement.<br>
> Mounir<br>
<br>
SELinux calls the audit subsystem from hard irq (e.g.<br>
file_send_sigiotask) and at times when kernel locks are held.<br>
-- <br>
Stephen Smalley <sds@epoch.ncsc.mil><br>
National Security Agency<br>
<br>
--<br>
Linux-audit mailing list<br>
Linux-audit@redhat.com<br>
http://www.redhat.com/mailman/listinfo/linux-audit<br>
</tt></font>
<br>