GNU/Linux >> Belajar Linux >  >> Cent OS

Pesan Auditd Mengisi /var/log/messages

Masalahnya

Pada pesan audit server mengisi file /var/log/messages dengan informasi debug:

type=1101 audit(1431535584.561:3): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: accounting acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'

Solusinya

Auditd adalah alat audit kernel sebagai bagian dari paket SElinux. Jika auditd diaktifkan di server, pesan debug akan dimasukkan ke dalam file /var/log/messages. Auditd harus meletakkan pesan debug di dalam /var/log/audit.log tetapi dalam beberapa kasus itu juga akan mengirim pesan-pesan itu ke /var/log/messages. Ikuti langkah-langkah yang diuraikan di bawah ini untuk menghentikan pesan yang diaudit masuk ke /var/log/messages.

1. Verifikasi /etc/grub.conf parameter boot kernel:

title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64)
root (hd0,0)
kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1
initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img

2. Di akhir parameter boot kernel ‘audit=1 ' telah ditambahkan, hapus opsi ini dari parameter boot dan simpan perubahan file.

3. Jika auditd tidak diperlukan di Server, harap hentikan layanan auditd dan nonaktifkan pada tahap boot:

# service auditd status
auditd (pid 3643) is running..
# service auditd stop
# chkconfig auditd off

4. Opsi lain untuk menghentikan auditd mengisi file pesan adalah mengedit /etc/audit/audit.rules dan ganti baris:

# First rule - delete all
-D

ubah itu menjadi

# First rule - delete all
-e 0

5. Simpan file dan mulai ulang layanan auditd

# service auditd restart

Ini akan menghentikan pesan debug audit yang mengenai /var/log/messages.


Cent OS

  1. Perbedaan Antara /var/log/messages, /var/log/syslog, Dan /var/log/kern.log?

  2. Pesan Log Pemula Di Ubuntu 13.x?

  3. Mengapa “/var/log/messages” Melaporkan Paket Mars

  1. fprintd Mencatat Pesan ke /var/log/messages Bahkan Jika USEFPRINTD=no di /etc/sysconfig/authconfig (CentOS/RHEL 7)

  2. Apa yang dimaksud dengan pesan "segfault" di file /var/log/messages?

  3. Perubahan nama host tidak tercermin dalam /var/log/messages untuk CentOS/RHEL

  1. Bagaimana Linux Menangani Beberapa Pemisah Jalur Berturut-turut (/home////username///file)?

  2. Pesan kesalahan "Batalkan perintah yang dikeluarkan nexus" di file /var/log/messages

  3. Django static_root di /var/www/... - tidak ada izin untuk mengumpulkan statis