GNU/Linux >> Tutoriels Linux >  >> Cent OS

Les messages auditd se remplissent /var/log/messages

Le problème

Sur le serveur, les messages d'audit remplissent le fichier /var/log/messages avec des informations de débogage :

type=1101 audit(1431535584.561:3): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: accounting acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1105 audit(1431535584.634:4): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session open acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1103 audit(1431535584.646:5): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1104 audit(1431535585.091:6): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: setcred acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'
type=1106 audit(1431535585.099:7): user pid=2428 uid=0 auid=4294967295 ses=4294967295 subj=kernel msg='PAM: session close acct="root" : exe="/bin/su" (hostname=?, addr=?, terminal=console res=success)'

La solution

Auditd est un outil d'audit du noyau faisant partie du package SElinux. Si auditd est activé sur le serveur, il mettra les messages de débogage dans le fichier /var/log/messages. Auditd doit placer les messages de débogage dans /var/log/audit.log mais dans certains cas, il enverra également ces messages à /var/log/messages. Suivez les étapes décrites ci-dessous pour arrêter la connexion des messages auditd dans /var/log/messages.

1. Vérifiez /etc/grub.conf paramètres de démarrage du noyau :

title Oracle Linux Server Unbreakable Enterprise Kernel (3.8.13-16.2.1.el6uek.x86_64)
root (hd0,0)
kernel /vmlinuz-3.8.13-16.2.1.el6uek.x86_64 ro root=/dev/mapper/vg_lnxovmsan2076-lv_root rd_NO_LUKS KEYBOARDTYPE=pc KEYTABLE=uk LANG=en_US.UTF-8 rd_NO_MD SYSFONT=latarcyrheb-sun16 rd_LVM_LV=vg_lnxovmsan2076/lv_root rd_LVM_LV=vg_lnxovmsan2076/lv_swap rd_NO_DM rhgb quiet audit=1
initrd /initramfs-3.8.13-16.2.1.el6uek.x86_64.img

2. À la fin des paramètres de démarrage du noyau 'audit=1 ' a été ajouté, supprimez cette option des paramètres de démarrage et enregistrez les modifications du fichier.

3. Si auditd n'est pas nécessaire sur le serveur, veuillez arrêter le service auditd et le désactiver au démarrage :

# service auditd status
auditd (pid 3643) is running..
# service auditd stop
# chkconfig auditd off

4. Une autre option pour empêcher auditd de remplir le fichier de messages consiste à modifier /etc/audit/audit.rules et changer de ligne :

# First rule - delete all
-D

changez-le en

# First rule - delete all
-e 0

5. Enregistrez le fichier et redémarrez le service auditd

# service auditd restart

Cela devrait empêcher les messages de débogage auditd d'atteindre /var/log/messages.


Cent OS

  1. Comment Linux gère-t-il plusieurs séparateurs de chemins consécutifs (/home////nom d'utilisateur///fichier) ?

  2. Différence entre /var/log/messages, /var/log/syslog et /var/log/kern.log ?

  3. Messages de journal de démarrage sur Ubuntu 13.x ?

  4. 20 fichiers journaux Linux situés dans le répertoire /var/log

  5. Comment modifier l'autorisation par défaut de /var/log/messages dans CentOS/RHEL

Que sont les messages "segfault" dans le fichier /var/log/messages

Le changement de nom d'hôte ne se reflète pas dans /var/log/messages pour CentOS/RHEL

CentOS / RHEL :Comment faire pivoter les fichiers /var/log/wtmp et /var/log/btmp à l'aide de logrotate

Messages d'erreur "Abandonner la commande émise nexus" dans le fichier /var/log/messages

Yum échoue avec "Erreur :l'image du disque de la base de données est mal formée" dans /var/log/messages

Les journaux système sont vides (/var/log/messages ; /var/log/secure ; etc.)