GNU/Linux >> Linux の 問題 >  >> Cent OS

監査されたメッセージが /var/log/messages をいっぱいにする

問題

サーバーの監査メッセージは、/var/log/messages ファイルにデバッグ情報を追加しています:

type=1101 audit(1431535584.561:3): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: accounting acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'

解決策

Auditd は、SElinux パッケージの一部としてのカーネル監査ツールです。サーバーで auditd が有効になっている場合、デバッグ メッセージが /var/log/messages ファイルに書き込まれます。 Auditd はデバッグ メッセージを /var/log/audit.log 内に配置する必要があります ただし、場合によっては、これらのメッセージを /var/log/messages にも送信します。次の手順に従って、auditd メッセージが /var/log/messages に記録されないようにします。

1. /etc/grub.conf を確認します カーネル起動パラメータ:

title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64)
root (hd0,0)
kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1
initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img

2. カーネル ブート パラメータの最後に「audit=1」 ‘ が追加されました。このオプションを起動パラメータから削除し、ファイルの変更を保存してください。

3. サーバーで auditd が必要ない場合は、起動段階で auditd サービスを停止して無効にしてください:

# service auditd status
auditd (pid 3643) is running..
# service auditd stop
# chkconfig auditd off

4. auditd がメッセージ ファイルをいっぱいにするのを止めるもう 1 つのオプションは、/etc/audit/audit.rules を編集することです。 行を変更します:

# First rule - delete all
-D

それを

に変更します 
# First rule - delete all
-e 0

5. ファイルを保存し、auditd サービスを再起動します

# service auditd restart

これにより、/var/log/messages にヒットする auditd デバッグ メッセージが停止するはずです。


Cent OS

  1. 「/var/log/messages」が Martian パケットを報告する理由

  2. /var/log/messages ファイルの「segfault」メッセージとは

  3. /var/www/... の Django static_root - collectstatic へのアクセス許可がありません

  1. Linuxは複数の連続したパスセパレーター(/ home //// username /// file)をどのように処理しますか?

  2. logrotate は /var/log/messages を圧縮しません

  3. システム ログが空です (/var/log/messages; /var/log/secure; など)

  1. /var/log/messages、/var/log/syslog、および/var/log/kern.logの違いは?

  2. Ubuntu 13.xでのUpstartログメッセージ?

  3. /var/log ディレクトリにある 20 個の Linux ログ ファイル