<div dir="ltr"><div>Aren't the DATA and SYNC durability options required for CAPP compliance?<br></div><div><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-configuring_the_audit_service.html">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sec-configuring_the_audit_service.html</a><br></div><div><br></div><div>How serious is this bug, at least in your opinion?</div><div><br></div><div>Thanks,</div><div>Cat</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 6, 2015 at 11:40 AM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com" target="_blank">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Monday, October 05, 2015 05:43:01 PM Cat wrote:<br>
> I believe auditd's flush configuration can only be set to INCREMENTAL to<br>
> guarantee some form of log durability, while DATA or SYNC do nothing. Is<br>
> this is a known bug or did I misinterpret auditd.conf's man page?<br>
<br>
</span>It has been a very long time (10 years?) since this code was looked at.<br>
Reviewing current docs, I think you are right. I put a fix into git as commit<br>
1126. The short story is these are now turned into open flags instead of fcntl.<br>
<span class="HOEnZb"><font color="#888888"><br>
-Steve<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
> In audit-event.c: in open_audit_log():<br>
> fcntl(F_SETFL, O_SYNC) is called on the already open log's file descriptor,<br>
> but O_SYNC (and O_DSYNC) are ignored by F_SETFL<br>
><br>
> You can check this in the kernel at<br>
> fs/fcntl.c:<br>
> #define SETFL_MASK (O_APPEND | O_NONBLOCK | O_NDELAY | O_DIRECT | O_NOATIME)<br>
><br>
> The fcntl() man page also indicates this expected behavior.<br>
><br>
> I checked both the kernel and audit source for CentOS 6.7 and Ubuntu<br>
> 14.04.03 and I believe I've reproduced the problem on both distributions.<br>
><br>
> Thanks,<br>
> Cat<br>
<br>
</div></div></blockquote></div><br></div>