GNU/Linux >> Znalost Linux >  >> Cent OS

Auditované zprávy se zaplňují /var/log/messages

Problém

Na serveru se auditní zprávy plní do souboru /var/log/messages s informacemi o ladění:

type=1101 audit(1431535584.561:3): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: accounting acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'

Řešení

Auditd je nástroj pro audit jádra jako součást balíčku SElinux. Pokud je na serveru povolena funkce auditd, vloží ladicí zprávy do souboru /var/log/messages. Auditd by měl umístit ladicí zprávy do /var/log/audit.log ale v některých případech také odešle tyto zprávy do /var/log/messages. Chcete-li zastavit přihlašování auditovaných zpráv do /var/log/messages, postupujte podle níže uvedených kroků.

1. Ověřte /etc/grub.conf parametry spouštění jádra:

title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64)
root (hd0,0)
kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1
initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img

2. Na konci spouštěcích parametrů jádra ‘audit=1 ‘ byl přidán, odeberte tuto možnost ze spouštěcích parametrů a uložte změny souboru.

3. Pokud na serveru není potřeba auditovat, zastavte auditovanou službu a deaktivujte ji ve fázi bootování:

# service auditd status
auditd (pid 3643) is running..
# service auditd stop
# chkconfig auditd off

4. Další možností, jak zastavit auditované zaplňování souboru zpráv, je upravit /etc/audit/audit.rules a změňte řádek:

# First rule - delete all
-D

změňte to na

# First rule - delete all
-e 0

5. Uložte soubor a restartujte auditovanou službu

# service auditd restart

To by mělo zastavit ladění auditovaných zpráv na /var/log/messages.


Cent OS

  1. Jak Linux zpracovává více po sobě jdoucích oddělovačů cest (/home////username///soubor)?

  2. 20 Soubory protokolu Linux, které jsou umístěny v adresáři /var/log

  3. Jak změnit výchozí oprávnění /var/log/messages v CentOS/RHEL

  1. Jak změnit cestu k souboru protokolu auditu /var/log/audit/audit.log

  2. /var/log/messages je prázdný, stejně jako rotované soubory protokolu, jako jsou messages.0, messages.1

  3. Systémový protokolový soubor /var/log/messages se automaticky odstraňuje nebo ořezává (CentOS/RHEL)

  1. Systém neustále zobrazoval chybovou zprávu od „avahi-démon“ v /var/log/messages

  2. Chybové zprávy „Abort command added nexus“ v souboru /var/log/messages

  3. Yum selže s „Chyba:obraz disku databáze je chybně vytvořen“ v /var/log/messages