En primer lugar, en fedora, tanto auditd como auditctl provienen del mismo paquete (auditoría sin confusión). Entonces, si no tiene auditctl, algo más está mal. Prueba esto:
rpm -ql audit |grep ctl
Si eso no le da nada, entonces no tiene instalado el paquete de auditoría.
En segundo lugar, la primera línea de idioma "humano" en el archivo grub.cfg que mencionaste dice "NO EDITAR" en mi sistema. Esta es una pista de que cualquier cambio manual en el archivo se puede perder.
El lugar correcto para editar la configuración de grub en un sistema fedora/redhat es el único archivo que sugirió específicamente que no es necesario cambiar (/etc/default/grub). En realidad, esta es la única forma "segura" de realizar el cambio propuesto y sobrevivir a las actualizaciones del kernel. Esto se debe a que se usa como parte de la configuración de origen durante las actualizaciones del kernel, para regenerar un grub.cfg que funcione. Busque el comando grub2-mkconfig (y sus amigos). Los detalles están aquí:https://fedoraproject.org/wiki/GRUB_2
Tu respuesta no está mal, pero la encontré un poco confusa. Odio la línea de comando de grub, y en mi humilde opinión, cualquiera que probablemente se pierda agregar un carácter de espacio en blanco en una línea de comando del kernel probablemente no agradecería a nadie por ser guiado por ese camino. Aún así, a algunas personas les gusta aprender de la manera difícil que conozco.
Todos los comandos a continuación deben ejecutarse como root (lo cual es en sí mismo algo peligroso de sugerir).
Para un sistema en ejecución:
auditctl -e 0
Si no puede encontrar auditctl, verifique su RUTA y también considere:
dnf install audit
Esto al menos debería reducir, si no deshabilitar, los mensajes hasta el momento en que pueda reiniciar.
Para persistir más allá de los reinicios, edite /etc/default/grub y cambie la línea GRUB_CMDLINE_LINUX para agregar "audit=0" al final, luego use grub2-mkconfig para regenerar grub.cfg. Este paso final también pone una capa de validación entre su cambio y el sistema en ejecución.
Puede deshabilitar rápidamente la auditoría temporalmente con
sudo auditctl -e 0
y eliminar temporalmente todas las reglas con
sudo auditctl -D
Para arranques futuros, puede intentar deshabilitar su inicio con
sudo systemctl disable auditd
No existe un servicio de auditoría que pueda deshabilitarse mientras el sistema se está ejecutando, pero resulta que agregar la opción de arranque audit=0 parece deshabilitar todos estos mensajes. El sistema se puede volver a utilizar, incluso en la línea de comandos sin ejecutar X.
Esta opción se puede configurar temporalmente (el cambio no sobrevivirá a un reinicio):
- Cuando aparezca el menú de inicio de Grub (justo después de encenderlo), presione e a e edite los parámetros de arranque. Esto mostrará un cuadro de texto enorme.
- Desplácese hacia abajo hasta la línea que comienza con "linux". Presiona el Fin para mover el cursor al final de la línea.
- Ingrese un carácter de espacio en blanco para no romper la última opción, luego agregue
audit=0. Por ejemplo... LANG=en_US.UTF-8 audit=0(no...UTF-8audit=0, obviamente). - Tenga cuidado de no cambiar nada más. Si accidentalmente modificó alguna otra opción, arréglela o reinicie y comience de nuevo.
- Pulse F10 para arrancar el sistema.
Por supuesto, este cambio solo tendrá efecto mientras el sistema esté funcionando. La inundación de auditoría volverá después de un reinicio. Para que este cambio sea permanente, la configuración de arranque debe cambiarse de forma permanente. En Fedora, debería ser suficiente simplemente modificar /boot/grub2/grub.cfg porque cuando se instala un nuevo kernel (actualización del sistema), grubby debe copiar las opciones del último kernel al kernel recién instalado. Esto significa, audit=0 debe agregarse al primer linux línea (primera menuentry sección) en este archivo. No debería ser necesario cambiar . /etc/default/grub
Corrección:en realidad, el enfoque correcto y más confiable es editar /etc/default/grub y regenere la configuración de Grub usando grub2-mkconfig -o /boot/grub2/grub.cfg , gracias KnightLordAndMaster por señalar esto.
Nota adicional sobre registros de auditoría en archivos de registro:
Como nota al margen, la siguiente línea debería evitar que los registros de auditoría terminen en archivos de registro, pero aun así saturarían dmesg y la consola, por lo que esta no es una solución en sí misma. Esta línea se pondría como primera regla en /etc/rsyslog.conf :
...
#### RULES ####
# no audit
:programname, isequal, "audit" ~
...
Esto ahora da como resultado la siguiente advertencia:
rsyslogd[xxxx]: warning: ~ action is deprecated, consider using the 'stop' statement instead [v8.35.0 try http://www.rsyslog.com/e/2307]