如何正確查找有關從 init 中關閉 auditd 的資訊？

我手上有一個謎。一天/etc/rc5.d/S11auditd變成/etc/rc5.d/K88auditd了，沒有人為此負責。看起來它只是自己發生的，這幾乎是不可信的，需要一點調查。

假設預設安裝 Fedora 12，跟踪導致auditd刪除初始化序列的操作的方式是什麼？到目前為止，我檢查了：

/var/log/messages顯示有​​一次惡魔在重新啟動時正確關閉，並且再也沒有載入。

/var/log/audit/audit.logviaausearch顯示基本相同的東西。

chkconfig | grep audit顯示它目前已關閉，但僅在第 5 次執行級別。

我什至.bash_history沒有運氣。

last還表明沒有人習慣於ssh遠端登錄。

那麼，我錯過了什麼？在哪裡尋找更多資訊？

我只是遇到了同樣的問題並且有一個可能的解釋。

就我而言，我懷疑它是由在引導期間通過更改連結readahead暫時禁用的軟體包引起的（請參閱 參考資料）。它應該在引導序列結束時將它們改回，但如果您中斷它（例如 CtrlAltDel 或斷電），則將永久關閉。auditd``rc.d``/etc/init/readahead-disable-services.conf``auditd

在https://bugzilla.redhat.com/show_bug.cgi?id=729452中有一些關於它的討論。

引用自：https://serverfault.com/questions/560078