web-dev-qa-db-ja.com

Auditctl-cronメッセージを除外します

私はauditctlを使用していて、crondの多くのロギングイベントを取得します。 cron/crondイベントをログに記録したくありません。

node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=CRED_ACQ msg=audit(1405678921.158:5574): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=LOGIN msg=audit(1405678921.159:5575): login pid=2017 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=102
node=127.0.0.1 type=USER_START msg=audit(1405678921.167:5576): user pid=2017 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'

私のaudit.rulesには、

 -a exit,never -F path=/usr/sbin/crond

しかし、rootのログインイベントをログに記録してからcronを実行しているようです。 USER_STARTUSER_ACCTなどは他のユーザーに必要なため、グローバルに除外できません。

更新:

私は http://linux.die.net/man/8/auditctl から、subjの部分が次のようであると信じています:

subj=system_u:system_r:crond_t:s0-s0:c0.c1023 

オプションに関連します:

subj_user
    Program's SE Linux User
subj_role
    Program's SE Linux Role
subj_type
    Program's SE Linux Type
subj_sen
    Program's SE Linux Sensitivity
subj_clr
    Program's SE Linux Clearance

追加:

-a exit,never -F subj_role=crond

または

-a exit,never -F subj_role=crond_

動作しませんでした、cronはまだ表示されます。

6
Kiksy

auditctl -a never,user -F subj_type=crond_tだと思います

「type = LOGIN」を除いて機能します

次に:auditctl always,exclude -F msgtype=LOGIN -F subj_type=crond_t

そして、あなたは行ってもいいです

3
Josh S.

この投稿 によると、残念ながら、SElinuxをいじることなく、cron関連の監査の大洪水を除外する方法はないようです。

とてもイライラします。

1
wimpo

これらの両方を/etc/audit/rules.d/*.rulesに入れる場合、できればファイルの先頭のどこかに置きます。

-a never,user -F subj_type=crond_t
-a exit,never -F subj_type=crond_t
0
Lucian M.