Za prvé, na fedoře auditd i auditctl pocházejí ze stejného balíku (nezmateně pojmenovaný audit). Pokud tedy auditctl nemáte, je něco jiného špatně. Zkuste toto:
rpm -ql audit |grep ctl
Pokud vám to nic nedá, pak nemáte balíček auditu vůbec nainstalovaný.
Za druhé, první řádek „lidského“ jazyka v souboru grub.cfg, který jste zmínil, říká „NEUPRAVOVAT“ v mém systému. To je vodítko, že jakékoli ruční změny v souboru mohou být ztraceny.
Správné místo pro úpravu konfigurace grub na systému fedora/redhat je ten soubor, který jste konkrétně navrhli, že není nutné ho měnit (/etc/default/grub). Ve skutečnosti je to jediný „bezpečný“ způsob, jak provést navrhovanou změnu a přežít upgrady jádra. Je to proto, že se používá jako součást konfigurace zdroje během upgradů jádra, k regeneraci funkčního souboru grub.cfg. Vyhledejte příkaz grub2-mkconfig (a jsou to přátelé). Podrobnosti jsou zde:https://fedoraproject.org/wiki/GRUB_2
Vaše odpověď není špatná, ale přišlo mi to trochu matoucí. Nenávidím příkazový řádek grub a IMHO každý, kdo pravděpodobně přehlédne přidání znaku mezery na příkazovém řádku jádra, by pravděpodobně nikomu nepoděkoval za to, že byl veden touto cestou. Přesto se někteří lidé rádi učí tvrdě, jak to znám já.
Všechny níže uvedené příkazy musí být spouštěny jako root (což je samo o sobě nebezpečné).
Pro běžící systém:
auditctl -e 0
Pokud nemůžete najít auditctl, zkontrolujte svou PATH a také zvažte:
dnf install audit
To by mělo alespoň snížit, ne-li deaktivovat zprávy, dokud nebudete moci restartovat.
Chcete-li přetrvávat i po restartu, upravte /etc/default/grub a změňte řádek GRUB_CMDLINE_LINUX tak, aby na konec přidal "audit=0", pak použijte grub2-mkconfig k vygenerování souboru grub.cfg. Tento poslední krok také vkládá vrstvu ověření mezi vaši změnu a běžící systém.
Audit můžete rychle dočasně deaktivovat pomocí
sudo auditctl -e 0
a dočasně odstraňte všechna pravidla pomocí
sudo auditctl -D
Pro budoucí bootování můžete zkusit zakázat jeho spouštění pomocí
sudo systemctl disable auditd
Neexistuje žádná auditovaná služba, kterou by bylo možné zakázat, když je systém spuštěn, ale ukázalo se, že přidání možnosti spouštění audit=0 Zdá se, že deaktivuje všechny tyto zprávy. Systém je opět použitelný i na příkazovém řádku bez spuštěného X.
Tuto možnost lze nastavit dočasně (změna nepřežije restart):
- Když se zobrazí spouštěcí nabídka Grub (hned po zapnutí napájení), stiskněte e do e upravit parametry spouštění. Zobrazí se velké textové pole.
- Posuňte se dolů na řádek, který začíná „linux“. Stiskněte Konec klávesou přesunete kurzor na konec řádku.
- Zadejte mezeru, abyste neporušili poslední možnost, a přidejte
audit=0. Například... LANG=en_US.UTF-8 audit=0(nikoli...UTF-8audit=0, samozřejmě). - Dávejte pozor, abyste nic jiného neměnili. Pokud jste omylem upravili nějakou jinou možnost, opravte ji nebo restartujte počítač a začněte znovu.
- Stiskněte F10 ke spuštění systému.
Tato změna se samozřejmě projeví pouze za běhu systému. Záplava auditu se po restartu vrátí. Aby byla tato změna trvalá, je nutné trvale změnit konfiguraci spouštění. Na Fedoře by mělo stačit jednoduše upravit /boot/grub2/grub.cfg protože když je nainstalováno nové jádro (aktualizace systému), grubby by měl zkopírovat možnosti nejnovějšího jádra do nově nainstalovaného jádra. To znamená, audit=0 musí být připojen k prvnímu linux řádek (první menuentry sekce) v tomto souboru. Nemělo by být nutné měnit . /etc/default/grub
Oprava:Ve skutečnosti je správný a nejspolehlivější přístup upravit /etc/default/grub a znovu vygenerujte konfiguraci Grub pomocí grub2-mkconfig -o /boot/grub2/grub.cfg , děkuji KnightLordAndMaster za upozornění.
Další poznámka k protokolům auditu v souborech protokolu:
Jako vedlejší poznámku, následující řádek by měl zabránit tomu, aby protokoly auditu skončily v souborech protokolu, ale stále by zaplňovaly dmesg a konzoli, takže to není řešení samo o sobě. Tento řádek by byl umístěn jako první pravidlo v /etc/rsyslog.conf :
...
#### RULES ####
# no audit
:programname, isequal, "audit" ~
...
Výsledkem je následující upozornění:
rsyslogd[xxxx]: warning: ~ action is deprecated, consider using the 'stop' statement instead [v8.35.0 try http://www.rsyslog.com/e/2307]