www. On IT Road .com
解决方案
Auditd 是作为 SElinux 包的一部分的内核审计工具。
如果在服务器上启用了 auditd,它会将调试消息放入 /var/log/messages 文件中。
Auditd 应该将调试消息放在 /var/log/audit.log 中,但在某些情况下,它也会将这些消息发送到 /var/log/messages。
按照下面列出的步骤停止将审计消息记录到 /var/log/messages 中。
- 验证 /etc/grub.conf 内核启动参数:
title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64) root (hd0,0) kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1 initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img
在内核引导参数的末尾添加了“audit=1”,从引导参数中删除此选项并保存文件更改。
如果服务器上不需要auditd,请停止auditd服务并在启动阶段禁用它:
# service auditd status auditd (pid 3643) is running..
# service auditd stop # chkconfig auditd off
- 另一个停止auditd填充消息文件的选项是编辑/etc/audit/audit.rules并更改行:
# First rule - delete all -D
将其更改为
# First rule - delete all -e 0
- 保存文件并重启auditd服务
# service auditd restart
问题
在服务器上,审计的调试信息 充满了 /var/log/messages 文件:
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)' type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)' type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)' type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
日期:2020-09-17 00:12:57 来源:oir作者:oir