Auditctl-cronメッセージを除外します
私はauditctlを使用していて、crondの多くのロギングイベントを取得します。 cron/crondイベントをログに記録したくありません。
node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=CRED_ACQ msg=audit(1405678921.158:5574): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=LOGIN msg=audit(1405678921.159:5575): login pid=2017 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=102
node=127.0.0.1 type=USER_START msg=audit(1405678921.167:5576): user pid=2017 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
私のaudit.rulesには、
-a exit,never -F path=/usr/sbin/crond
しかし、rootのログインイベントをログに記録してからcronを実行しているようです。 USER_START、USER_ACCTなどは他のユーザーに必要なため、グローバルに除外できません。
更新:
私は http://linux.die.net/man/8/auditctl から、subjの部分が次のようであると信じています:
subj=system_u:system_r:crond_t:s0-s0:c0.c1023
オプションに関連します:
subj_user
Program's SE Linux User
subj_role
Program's SE Linux Role
subj_type
Program's SE Linux Type
subj_sen
Program's SE Linux Sensitivity
subj_clr
Program's SE Linux Clearance
追加:
-a exit,never -F subj_role=crond
または
-a exit,never -F subj_role=crond_
動作しませんでした、cronはまだ表示されます。
auditctl -a never,user -F subj_type=crond_tだと思います
「type = LOGIN」を除いて機能します
次に:auditctl always,exclude -F msgtype=LOGIN -F subj_type=crond_t
そして、あなたは行ってもいいです
この投稿 によると、残念ながら、SElinuxをいじることなく、cron関連の監査の大洪水を除外する方法はないようです。
とてもイライラします。
これらの両方を/etc/audit/rules.d/*.rulesに入れる場合、できればファイルの先頭のどこかに置きます。
-a never,user -F subj_type=crond_t
-a exit,never -F subj_type=crond_t