GNU/Linux >> Linux Esercitazione >  >> Cent OS

I messaggi Auditd si stanno riempiendo /var/log/messages

Il problema

Sul server i messaggi di controllo stanno riempiendo il file /var/log/messages con le informazioni di debug:

type=1101 audit(1431535584.561:3): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: accounting acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'

La soluzione

Auditd è uno strumento di controllo del kernel come parte del pacchetto SElinux. Se auditd è abilitato sul server, inserirà i messaggi di debug nel file /var/log/messages. Auditd dovrebbe inserire i messaggi di debug all'interno di /var/log/audit.log ma in alcuni casi invierà anche quei messaggi a /var/log/messages. Segui i passaggi descritti di seguito per impedire che i messaggi controllati vengano registrati in /var/log/messages.

1. Verifica /etc/grub.conf parametri di avvio del kernel:

title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64)
root (hd0,0)
kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1
initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img

2. Alla fine dei parametri di avvio del kernel "audit=1 ' è stato aggiunto, rimuovi questa opzione dai parametri di avvio e salva le modifiche al file.

3. Se auditd non è necessario sul server, interrompere il servizio auditd e disabilitarlo in fase di avvio:

# service auditd status
auditd (pid 3643) is running..
# service auditd stop
# chkconfig auditd off

4. Un'altra opzione per impedire ad auditd di riempire il file dei messaggi è modificare /etc/audit/audit.rules e cambia riga:

# First rule - delete all
-D

cambialo in

# First rule - delete all
-e 0

5. Salva il file e riavvia il servizio auditd

# service auditd restart

Questo dovrebbe fermare i messaggi di debug controllati che colpiscono /var/log/messages.


Cent OS

  1. Differenza tra /var/log/messages, /var/log/syslog e /var/log/kern.log?

  2. Come modificare il percorso del file di registro auditd /var/log/audit/audit.log

  3. Perché "/var/log/messages" riporta i pacchetti marziani

  4. fprintd Registra i messaggi in /var/log/messages Anche se USEFPRINTD=no in /etc/sysconfig/authconfig (CentOS/RHEL 7)

  5. Cosa sono i messaggi "segfault" nel file /var/log/messages

Come modificare l'autorizzazione predefinita di /var/log/messages in CentOS/RHEL

/var/log/messages è vuoto, così come i file di registro ruotati come messaggi.0, messaggi.1

Il file di registro di sistema /var/log/messages viene eliminato o tagliato automaticamente (CentOS/RHEL)

Il sistema mostrava continuamente il messaggio di errore da "avahi-demon" in /var/log/messages

Messaggi di errore "Interruzione comando emesso nexus" nel file /var/log/messages

Yum non riesce con "Errore:l'immagine del disco del database non è corretta" in /var/log/messages