Please read below.<br><br><div class="gmail_quote">On Wed, Jan 25, 2012 at 9:20 PM, Eric Paris <span dir="ltr"><<a href="mailto:eparis@redhat.com">eparis@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">On Wed, 2012-01-25 at 18:45 +0200, Valentin Avram wrote:<br>
<br>
> Did anybody ever experience kernel oopses and even kernel crashes<br>
> (after a while), by just restarting repeatedly the auditd daemon?<br>
<br>
</div>No, but I'll try to remember to take a look.  We did have a BUG() that<br>
was recently fixed when using -w rules (as I recall).   But I've never<br>
seen this particular NULL pointer bug.  We did recently fix a race in<br>
fsnotify mark destruction that could be this, but those symptoms weren't<br>
exactly the same.<br>
<br>
I'm both the upstream Audit and fsnotify maintainer so I'm grumbley at<br>
Gentoo for never letting me know isn't working.  Where else did you<br>
report this?  I'm wondering where all the information failure is<br>
happening.<br></blockquote><div><br></div><div>I only reported the issue on Gentoo bugs and LKML (the two links i included in the original email). The Gentoo guys at first did seem interested in the bug and asked for a test with a kernel compiled with CONFIG_DEBUG_INFO and CONFIG_DEBUG_LIST. After that test it looked like some list is getting messed up somewhere (altough i'm part C programmer, my kernel insides knowledge is limited). The LKML guys didn't even bother to answer.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Can you send me any and all info you have?<br>
<br></blockquote><div><br></div><div>All the information i had is posted on the Gentoo bug report. The two machines i used to test the issue are now in production mode, so i can't do any testing on them. However I'll soon have access to a new machine that can stay in test mode for a while, where i plan to retest with Gentoo's latest "stable-marked" kernel gentoo-sources-3.1.6.</div>
<div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I'll see if I can reproduce a problem here (but I'm a Fedora guy)<br></blockquote><div><br></div><div>At this moment i'm not extremely sure if it's a auditd issue or a kernel issue or both. However, if you're running a kernel lower than 3.0.7 and auditd 2.1.3, I'd be very interested if running the one-liner i posted (audit start and stop on a loop with 5 seconds delay) will eventually (in 1 hour or something close) crash the kernel completely (or at least oops a lot of times). </div>
</div><div><br></div>Thank you.<br><div><br></div>