GNU/Linux >> Belajar Linux >  >> Linux

Cara menonaktifkan entri log keberhasilan audit yang tidak berguna di dmesg

Pertama, di fedora, baik auditd maupun auditctl berasal dari paket yang sama (namanya tidak membingungkan audit). Jadi jika Anda tidak memiliki auditctl, ada hal lain yang salah. Coba ini:

rpm -ql audit |grep ctl

Jika itu tidak memberi Anda apa-apa, maka Anda belum menginstal paket audit sama sekali.

Kedua, baris bahasa "manusia" pertama di file grub.cfg yang Anda sebutkan mengatakan "JANGAN DIEDIT" di sistem saya. Ini adalah petunjuk bahwa setiap perubahan manual pada file dapat hilang.

Tempat yang tepat untuk mengedit konfigurasi grub pada sistem fedora/redhat adalah satu file yang Anda sarankan secara khusus karena tidak perlu diubah (/etc/default/grub). Pada kenyataannya, ini adalah satu-satunya cara "aman" untuk melakukan perubahan yang diusulkan dan bertahan dari pemutakhiran kernel. Ini karena digunakan sebagai bagian dari konfigurasi sumber selama pemutakhiran kernel, untuk meregenerasi grub.cfg yang berfungsi. Cari perintah grub2-mkconfig (dan itu teman). Detailnya ada di sini:https://fedoraproject.org/wiki/GRUB_2

Jawaban Anda tidak salah, tetapi menurut saya agak membingungkan. Saya benci baris perintah grub, dan IMHO siapa pun yang mungkin melewatkan menambahkan karakter spasi pada baris perintah kernel mungkin tidak akan berterima kasih kepada siapa pun karena telah memimpin di jalan itu. Tetap saja, beberapa orang suka belajar dengan cara yang sulit yang saya tahu.

Semua perintah di bawah ini perlu dijalankan sebagai root (yang dengan sendirinya merupakan hal yang berbahaya untuk disarankan).

Untuk sistem yang sedang berjalan:

auditctl -e 0

Jika Anda tidak dapat menemukan auditctl, periksa PATH Anda dan pertimbangkan juga:

dnf install audit

Ini setidaknya akan mengurangi jika tidak menonaktifkan pesan hingga Anda dapat melakukan boot ulang.

Untuk bertahan setelah reboot, edit /etc/default/grub dan ubah baris GRUB_CMDLINE_LINUX untuk menambahkan "audit=0" di akhir, lalu gunakan grub2-mkconfig untuk membuat ulang grub.cfg. Langkah terakhir ini juga memberikan lapisan validasi antara perubahan Anda, dan sistem yang sedang berjalan.


Anda dapat dengan cepat menonaktifkan audit sementara dengan

sudo auditctl -e 0

dan hapus sementara semua aturan dengan

sudo auditctl -D

Untuk boot selanjutnya, Anda dapat mencoba menonaktifkan permulaannya dengan

 sudo systemctl disable auditd

Tidak ada layanan auditd yang dapat dinonaktifkan saat sistem berjalan, tetapi ternyata menambahkan opsi boot audit=0 tampaknya menonaktifkan semua pesan ini. Sistem dapat digunakan kembali, bahkan pada baris perintah tanpa menjalankan X.

Opsi ini dapat disetel sementara (perubahan tidak akan bertahan setelah reboot):

  1. Saat menu boot Grub muncul (tepat setelah menyalakan daya), tekan e ke e dit parameter boot. Ini akan menampilkan kotak teks besar.
  2. Gulir ke bawah ke baris yang dimulai dengan "linux". Tekan tombol End untuk memindahkan kursor ke akhir baris.
  3. Masukkan karakter spasi agar opsi terakhir tidak terputus, lalu tambahkan audit=0 . Misalnya ... LANG=en_US.UTF-8 audit=0 (bukan ...UTF-8audit=0 , tentunya).
  4. Berhati-hatilah untuk tidak mengubah apa pun. Jika Anda tidak sengaja mengubah beberapa opsi lain, perbaiki atau mulai ulang dan mulai dari awal.
  5. Tekan F10 untuk mem-boot sistem.

Tentu saja, perubahan ini hanya akan berlaku saat sistem sedang berjalan. Banjir audit akan kembali setelah reboot. Untuk membuat perubahan ini permanen, konfigurasi boot harus diubah secara permanen. Di Fedora, cukup memodifikasi /boot/grub2/grub.cfg saja karena ketika kernel baru diinstal (pembaruan sistem), grubby harus menyalin opsi kernel terbaru ke kernel yang baru diinstal. Artinya, audit=0 harus ditambahkan ke linux pertama baris (pertama menuentry bagian) dalam file ini. Seharusnya tidak perlu mengubah /etc/default/grub .
Koreksi:Sebenarnya, pendekatan yang benar dan paling dapat diandalkan adalah mengedit /etc/default/grub dan buat ulang konfigurasi Grub menggunakan grub2-mkconfig -o /boot/grub2/grub.cfg , terima kasih KnightLordAndMaster untuk menunjukkan hal ini.

Catatan tambahan tentang log audit di file log:

Sebagai catatan tambahan, baris berikut harus mencegah log audit berakhir di file log, tetapi mereka masih akan mengacaukan dmesg dan konsol, jadi ini bukan solusi itu sendiri. Baris ini akan diletakkan sebagai aturan pertama di /etc/rsyslog.conf :

...
#### RULES ####

# no audit
:programname, isequal, "audit" ~

...

Ini sekarang menghasilkan peringatan berikut:

 rsyslogd[xxxx]: warning: ~ action is deprecated, consider using the 'stop' statement instead [v8.35.0 try http://www.rsyslog.com/e/2307]

Linux

  1. Cara Menonaktifkan ETag di NGINX

  2. Daemontools Multilog Kehilangan Informasi Waktu Baris Log. Bagaimana memperbaikinya?

  3. Bagaimana Cara Menonaktifkan SELinux di CentOS?

  1. Cara mengubah izin default pada file /var/log/audit/audit.log di CentOS/RHEL

  2. Cara Menghentikan Entri Log Audit yang Ditulis ke Log Sistem di CentOS/RHEL 6

  3. Cara Mengabaikan/Menonaktifkan Entri Logging auditd Tertentu

  1. Cara gzip semua atau file tertentu di Linux

  2. Cara Membaca Log Audit di Linux

  3. Bagaimana saya bisa menulis ke dmesg dari baris perintah?