GNU/Linux >> LINUX-Kenntnisse >  >> Linux

So deaktivieren Sie nutzlose Audit-Erfolgsprotokolleinträge in dmesg

Erstens stammen auf Fedora sowohl auditd als auch auditctl aus demselben Paket (unverwirrend audit genannt). Wenn Sie auditctl nicht haben, stimmt etwas anderes nicht. Versuchen Sie Folgendes:

rpm -ql audit |grep ctl

Wenn Ihnen das nichts bringt, dann haben Sie das Audit-Paket überhaupt nicht installiert.

Zweitens sagt die erste "menschliche" Sprachzeile in der von Ihnen erwähnten grub.cfg-Datei "DO NOT EDIT" auf meinem System. Dies ist ein Hinweis darauf, dass alle manuellen Änderungen an der Datei verloren gehen können.

Der richtige Ort, um die Grub-Konfiguration auf einem Fedora/Redhat-System zu bearbeiten, ist die eine Datei, von der Sie ausdrücklich vorgeschlagen haben, dass sie nicht geändert werden muss (/etc/default/grub). In Wirklichkeit ist dies der einzige "sichere" Weg, um die vorgeschlagene Änderung vorzunehmen und Kernel-Upgrades zu überleben. Dies liegt daran, dass es als Teil der Quellkonfiguration während Kernel-Upgrades verwendet wird, um eine funktionierende grub.cfg neu zu generieren. Schlagen Sie den Befehl grub2-mkconfig nach (und seine Freunde). Einzelheiten finden Sie hier:https://fedoraproject.org/wiki/GRUB_2

Ihre Antwort ist nicht falsch, aber ich fand sie ein wenig verwirrend. Ich hasse die Grub-Befehlszeile, und IMHO würde jeder, der wahrscheinlich das Hinzufügen eines Whitespace-Zeichens in einer Kernel-Befehlszeile verpasst, wahrscheinlich niemandem dafür danken, dass er diesen Weg entlang geführt wird. Trotzdem lernen manche Leute gerne auf die harte Tour, die ich kenne.

Alle folgenden Befehle müssen als root ausgeführt werden (was an und für sich schon gefährlich ist).

Für ein laufendes System:

auditctl -e 0

Wenn Sie auditctl nicht finden können, überprüfen Sie Ihren PATH und berücksichtigen Sie auch:

dnf install audit

Dies sollte die Meldungen zumindest reduzieren, wenn nicht sogar deaktivieren, bis Sie neu starten können.

Um über Neustarts hinaus bestehen zu bleiben, bearbeiten Sie /etc/default/grub und ändern Sie die GRUB_CMDLINE_LINUX-Zeile, um „audit=0“ am Ende hinzuzufügen, und verwenden Sie dann grub2-mkconfig, um die grub.cfg neu zu generieren. Dieser letzte Schritt fügt auch eine Validierungsebene zwischen Ihre Änderung und das laufende System ein.


Mit

können Sie die Überwachung schnell vorübergehend deaktivieren 
sudo auditctl -e 0

und entfernen Sie vorübergehend alle Regeln mit

sudo auditctl -D

Für zukünftige Starts können Sie versuchen, den Start mit

zu deaktivieren 
 sudo systemctl disable auditd

Es gibt keinen auditd-Dienst, der deaktiviert werden könnte, während das System läuft, aber es stellt sich heraus, dass das Hinzufügen der Boot-Option audit=0 scheint alle diese Nachrichten zu deaktivieren. Das System ist wieder nutzbar, sogar auf der Kommandozeile, ohne dass X läuft.

Diese Option kann temporär gesetzt werden (die Änderung wird einen Neustart nicht überleben):

  1. Wenn das Grub-Startmenü erscheint (direkt nach dem Einschalten), drücken Sie e bis e Bearbeiten Sie die Boot-Parameter. Dies zeigt ein riesiges Textfeld.
  2. Scrollen Sie nach unten zu der Zeile, die mit "linux" beginnt. Drücken Sie das Ende Taste, um den Cursor an das Zeilenende zu bewegen.
  3. Geben Sie ein Leerzeichen ein, damit Sie die letzte Option nicht unterbrechen, und hängen Sie dann audit=0 an . Zum Beispiel ... LANG=en_US.UTF-8 audit=0 (nicht ...UTF-8audit=0 , offensichtlich).
  4. Achten Sie darauf, nichts anderes zu ändern. Wenn Sie versehentlich eine andere Option geändert haben, reparieren Sie sie oder starten Sie neu und beginnen Sie von vorne.
  5. Drücken Sie F10 um das System zu booten.

Diese Änderung gilt natürlich nur im laufenden Betrieb. Die Überwachungsflut kommt nach einem Neustart zurück. Um diese Änderung dauerhaft zu machen, muss die Boot-Konfiguration dauerhaft geändert werden. Bei Fedora sollte es ausreichen, einfach /boot/grub2/grub.cfg zu ändern denn wenn ein neuer Kernel installiert wird (Systemupdate), sollte grubby die Optionen des neusten Kernels auf den neu installierten Kernel kopieren. Das bedeutet audit=0 muss an die erste linux angehängt werden Zeile (erste menuentry Abschnitt) in dieser Datei. Es sollte nicht notwendig sein, /etc/default/grub zu ändern .
Korrektur:Eigentlich ist der korrekte und zuverlässigste Ansatz, /etc/default/grub zu bearbeiten und generiere die Grub-Konfiguration mit grub2-mkconfig -o /boot/grub2/grub.cfg neu , danke KnightLordAndMaster für den Hinweis.

Zusätzlicher Hinweis zu Prüfprotokollen in Protokolldateien:

Als Nebenbemerkung sollte die folgende Zeile verhindern, dass Überwachungsprotokolle in Protokolldateien landen, aber sie würden immer noch dmesg und die Konsole überladen, daher ist dies keine Lösung an sich. Diese Zeile würde als erste Regel in /etc/rsyslog.conf eingefügt werden :

...
#### RULES ####

# no audit
:programname, isequal, "audit" ~

...

Dies führt nun zu folgender Warnung:

 rsyslogd[xxxx]: warning: ~ action is deprecated, consider using the 'stop' statement instead [v8.35.0 try http://www.rsyslog.com/e/2307]

Linux

  1. Daemontools Multilog verliert Informationen zur Protokollzeilenzeit. Wie man es repariert?

  2. Wie deaktiviere ich SELinux auf CentOS?

  3. So ignorieren/deaktivieren Sie bestimmte auditd-Protokollierungseinträge

  4. So ändern Sie den Audit-Log-Pfad im MySQL Docker

  5. So fügen Sie jeder Zeile einer kontinuierlich geschriebenen Protokolldatei eine Datumszeichenfolge hinzu

So kommentieren Sie in Bash

So lesen Sie eine Datei Zeile für Zeile in Bash

So erfassen Sie weitere Protokolle in /var/log/dmesg für CentOS/RHEL

Wie man alle oder bestimmte Dateien in Linux gzippt

So lesen Sie das Überwachungsprotokoll in Linux

Wie kann ich von der Befehlszeile aus in dmesg schreiben?