GNU/Linux >> LINUX-Kenntnisse >  >> Cent OS

Auditd-Meldungen füllen /var/log/messages

Das Problem

Auf dem Server füllen Prüfmeldungen die Datei /var/log/messages mit Debug-Informationen:

type=1101 audit(1431535584.561:3): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: accounting acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'

Die Lösung

Auditd ist ein Kernel-Audit-Tool als Teil des SElinux-Pakets. Wenn auditd auf dem Server aktiviert ist, werden Debug-Meldungen in die Datei /var/log/messages geschrieben. Auditd sollte Debug-Meldungen in /var/log/audit.log einfügen aber in einigen Fällen werden diese Nachrichten auch an /var/log/messages gesendet. Befolgen Sie die unten beschriebenen Schritte, um zu verhindern, dass auditd-Meldungen in /var/log/messages.

protokolliert werden

1. Überprüfen Sie /etc/grub.conf Kernel-Boot-Parameter:

title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64)
root (hd0,0)
kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1
initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img

2. Am Ende der Kernel-Boot-Parameter ‘audit=1 ‘ hinzugefügt wurde, entfernen Sie diese Option aus den Boot-Parametern und speichern Sie die Dateiänderungen.

3. Wenn auditd auf dem Server nicht benötigt wird, beenden Sie bitte den auditd-Dienst und deaktivieren Sie ihn beim Booten:

# service auditd status
auditd (pid 3643) is running..
# service auditd stop
# chkconfig auditd off

4. Eine weitere Option, um zu verhindern, dass auditd die Nachrichtendatei füllt, ist die Bearbeitung von /etc/audit/audit.rules und Zeile ändern:

# First rule - delete all
-D

ändern Sie das in

# First rule - delete all
-e 0

5. Speichern Sie die Datei und starten Sie den auditd-Dienst neu

# service auditd restart

Dies sollte verhindern, dass auditd-Debug-Meldungen /var/log/messages treffen.


Cent OS

  1. Wie behandelt Linux mehrere aufeinanderfolgende Pfadtrennzeichen (/home////username///file)?

  2. Upstart-Protokollmeldungen unter Ubuntu 13.x?

  3. Warum meldet „/var/log/messages“ Marspakete?

  4. fprintd protokolliert Nachrichten in /var/log/messages, selbst wenn USEFPRINTD=no in /etc/sysconfig/authconfig (CentOS/RHEL 7)

  5. Was sind „segfault“-Meldungen in der Datei /var/log/messages

Das System zeigte kontinuierlich die Fehlermeldung von „avahi-demon“ in /var/log/messages an

CentOS / RHEL :So rotieren Sie /var/log/wtmp- und /var/log/btmp-Dateien mit logrotate

Fehlermeldungen „Befehl abbrechen ausgegeben Nexus“ in der Datei /var/log/messages

Yum schlägt mit „Error:database disk image is misformed“ in /var/log/messages fehl

Django static_root in /var/www/... - keine Berechtigungen für collectstatic

Systemprotokolle sind leer (/var/log/messages; /var/log/secure; etc)