Perché il syscall si bloccherà per 1min quando il sottosistema di controllo di Linux raggiunge il limite del backlog per la prima volta?

Question

Perché il syscall si bloccherà per 1min quando il sottosistema di controllo di Linux raggiunge il limite del backlog per la prima volta?

#1 da (1 voti)

0

Trovo che quando il sottosistema di controllo raggiunge il limite del backlog (impostato tramite auditctl -b 1023 ) per la prima volta, il syscall corrente verrà sospeso per circa 1 minuto. Dopo 1 minuto, il contatore perso verrà aumentato e verrà restituito il syscall. Dopo la prima volta, se viene raggiunto di nuovo il limite del backlog, il syscall ritornerà e il contatore perso verrà immediatamente aumentato.

Perché il syscall si blocca per 1 minuto la prima volta? Questo comportamento renderebbe il sistema inutilizzabile totalmente per 1 minuto. Come posso evitare questo?

audit

posta user2828102 18.12.2016 - 12:22

fonte

1 risposta

Leggi altre domande sui tag audit

Come può qualcuno determinare dove ha origine un router / SSID wireless? [duplicare] Una SPA è vulnerabile all'https security exploit di BREACH?

score 1 · Accepted Answer

L'attesa è terminata qui .

In un kernel recente, potresti usare auditctl --backlog_wait_time 0 per impostare audit_backlog_wait_time su 0 per evitare ciò, ma sembra che non possiamo fare nulla sui kernel più vecchi (ad esempio 3.10.104).