⏰ Сообщения Auditd заполняют /var/log/messages |

⏰ Сообщения Auditd заполняют /var/log/messages

Мануал

Проблема

На сервере аудита сообщения заполняют файл /var/log/messages отладочной информацией:

type=1101 audit(1431535584.561:3): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: accounting acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'

 

Auditd – это инструмент аудита ядра, являющийся частью пакета SElinux.

Если на сервере включен auditd, он будет помещать отладочные сообщения в файл /var/log/messages.

Auditd должен поместить отладочные сообщения в /var/log/audit.log, но в некоторых случаях он также отправит эти сообщения в /var/log/messages.

Выполните действия, описанные ниже, чтобы остановить входящие Auditd сообщения в /var/log/messages.

1. Проверьте параметры загрузчика ядра /etc/grub.conf:

title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64)
root (hd0,0)
kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1
initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img

2. В конце загрузочных параметров ядра был добавлен параметр «audit = 1», удалите эту опцию из параметров загрузки и сохраните изменения файла.

3. Если на сервере не требуется auditd, остановите службу Audit и отключите ее на этапе загрузки:

# service auditd status
auditd (pid 3643) is running..
# service auditd stop
# chkconfig auditd off

4. Другой вариант остановить Auditd, заполняющий файл сообщений, – отредактировать /etc/audit/audit.rules и изменить строку:

# First rule - delete all
-D

изменить это на

# First rule - delete all
-e 0

5. Сохраните файл и перезапустите службу auditd.

# service auditd restart

Это должно остановить попадание отладочных сообщений audd в /var/log/messages.

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий