GNU/Linux >> Tutoriales Linux >  >> Cent OS

Los mensajes auditados se están llenando /var/log/messages

El problema

En el servidor, los mensajes de auditoría están llenando el archivo /var/log/messages con información de depuración:

type=1101 audit(1431535584.561:3): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: accounting acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'

La solución

Auditd es una herramienta de auditoría del kernel como parte del paquete SElinux. Si auditd está habilitado en el servidor, colocará los mensajes de depuración en el archivo /var/log/messages. Auditd debe colocar mensajes de depuración dentro de /var/log/audit.log pero en algunos casos también enviará esos mensajes a /var/log/messages. Siga los pasos descritos a continuación para evitar que los mensajes auditados se registren en /var/log/messages.

1. Verifique /etc/grub.conf parámetros de arranque del kernel:

title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64)
root (hd0,0)
kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1
initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img

2. Al final de los parámetros de arranque del kernel ‘audit=1 ', elimine esta opción de los parámetros de arranque y guarde los cambios del archivo.

3. Si no se necesita auditd en el servidor, detenga el servicio de auditd y desactívelo en la etapa de arranque:

# service auditd status
auditd (pid 3643) is running..
# service auditd stop
# chkconfig auditd off

4. Otra opción para evitar que auditd llene el archivo de mensajes es editar /etc/audit/audit.rules y cambiar línea:

# First rule - delete all
-D

cambia eso a

# First rule - delete all
-e 0

5. Guarde el archivo y reinicie el servicio auditd

# service auditd restart

Esto debería evitar que los mensajes de depuración auditados lleguen a /var/log/messages.


Cent OS

  1. ¿Diferencia entre /var/log/messages, /var/log/syslog y /var/log/kern.log?

  2. 20 archivos de registro de Linux que se encuentran en el directorio /var/log

  3. Cómo cambiar el permiso predeterminado de /var/log/messages en CentOS/RHEL

  4. /var/log/messages está vacío, al igual que los archivos de registro rotados, como mensajes.0, mensajes.1

  5. El archivo de registro del sistema /var/log/messages se elimina o recorta automáticamente (CentOS/RHEL)

Cómo cambiar la ruta del archivo de registro auditd /var/log/audit/audit.log

¿Por qué “/var/log/messages” reporta paquetes marcianos?

fprintd registra mensajes en /var/log/messages incluso si USEFPRINTD=no en /etc/sysconfig/authconfig (CentOS/RHEL 7)

¿Qué son los mensajes de “segfault” en el archivo /var/log/messages?

El cambio de nombre de host no se refleja en /var/log/messages para CentOS/RHEL

CentOS / RHEL:Cómo rotar el archivo /var/log/wtmp y /var/log/btmp usando logrotate