GNU/Linux >> Tutoriels Linux >  >> Linux

Comment désactiver les entrées de journal de réussite d'audit inutiles dans dmesg

Tout d'abord, sur Fedora, auditd et auditctl proviennent du même paquet (nommé audit sans confusion). Donc, si vous n'avez pas auditctl, quelque chose d'autre ne va pas. Essayez ceci :

rpm -ql audit |grep ctl

Si cela ne vous donne rien, alors vous n'avez pas du tout installé le package d'audit.

Deuxièmement, la première ligne de langage "humain" dans le fichier grub.cfg que vous avez mentionné indique "NE PAS MODIFIER" sur mon système. C'est un indice que toute modification manuelle du fichier peut être perdue.

Le bon endroit pour modifier la configuration grub sur un système fedora/redhat est le fichier que vous avez spécifiquement suggéré comme n'étant pas nécessaire de changer (/etc/default/grub). En réalité, c'est le seul moyen "sûr" d'effectuer le changement proposé et de survivre aux mises à jour du noyau. En effet, il est utilisé dans le cadre de la configuration source lors des mises à niveau du noyau, pour régénérer un fichier grub.cfg fonctionnel. Recherchez la commande grub2-mkconfig (et ses amis). Les détails sont ici :https://fedoraproject.org/wiki/GRUB_2

Votre réponse n'est pas fausse, mais je l'ai trouvée un peu confuse. Je déteste la ligne de commande grub, et à mon humble avis, quiconque est susceptible de manquer l'ajout d'un caractère d'espace blanc sur une ligne de commande du noyau ne remercierait probablement personne d'avoir été conduit sur cette voie. Pourtant, certaines personnes aiment apprendre à la dure que je connais.

Toutes les commandes ci-dessous doivent être exécutées en tant que root (ce qui est en soi une chose dangereuse à suggérer).

Pour un système en cours d'exécution :

auditctl -e 0

Si vous ne trouvez pas auditctl, vérifiez votre PATH et considérez également :

dnf install audit

Cela devrait au moins réduire, voire désactiver, les messages jusqu'à ce que vous puissiez redémarrer.

Pour persister au-delà des redémarrages, modifiez /etc/default/grub et modifiez la ligne GRUB_CMDLINE_LINUX pour ajouter "audit=0" à la fin, puis utilisez grub2-mkconfig pour régénérer le grub.cfg. Cette dernière étape place également une couche de validation entre votre modification et le système en cours d'exécution.


Vous pouvez rapidement désactiver temporairement l'audit avec

sudo auditctl -e 0

et supprimer temporairement toutes les règles avec

sudo auditctl -D

Pour les futurs démarrages, vous pouvez essayer de désactiver son démarrage avec

 sudo systemctl disable auditd

Il n'y a pas de service auditd qui pourrait être désactivé pendant que le système est en cours d'exécution, mais il s'avère que l'ajout de l'option de démarrage audit=0 semble désactiver tous ces messages. Le système est à nouveau utilisable, même en ligne de commande sans X en cours d'exécution.

Cette option peut être définie temporairement (la modification ne survivra pas à un redémarrage) :

  1. Lorsque le menu de démarrage Grub apparaît (juste après la mise sous tension), appuyez sur e à e dit les paramètres de démarrage. Cela affichera une énorme zone de texte.
  2. Faites défiler jusqu'à la ligne qui commence par "linux". Appuyez sur Fin touche pour déplacer le curseur à la fin de la ligne.
  3. Entrez un caractère d'espacement afin de ne pas casser la dernière option, puis ajoutez audit=0 . Par exemple ... LANG=en_US.UTF-8 audit=0 (pas ...UTF-8audit=0 , évidemment).
  4. Attention à ne rien changer d'autre. Si vous avez accidentellement modifié une autre option, corrigez-la ou redémarrez et recommencez.
  5. Appuyez sur F10 pour démarrer le système.

Bien sûr, ce changement ne sera effectif que pendant le fonctionnement du système. L'inondation d'audit reviendra après un redémarrage. Pour rendre cette modification permanente, la configuration de démarrage doit être modifiée de manière permanente. Sur Fedora, il devrait suffire de modifier simplement /boot/grub2/grub.cfg car lorsqu'un nouveau noyau est installé (mise à jour du système), grubby doit copier les options du dernier noyau dans le noyau nouvellement installé. Cela signifie, audit=0 doit être ajouté au premier linux ligne (premier menuentry section) dans ce fichier. Il ne devrait pas être nécessaire de modifier /etc/default/grub .
Correction :En fait, l'approche correcte et la plus fiable consiste à modifier /etc/default/grub et régénérez la configuration Grub en utilisant grub2-mkconfig -o /boot/grub2/grub.cfg , merci KnightLordAndMaster de l'avoir signalé.

Remarque supplémentaire sur les journaux d'audit dans les fichiers journaux :

En remarque, la ligne suivante devrait empêcher les journaux d'audit de se retrouver dans les fichiers journaux, mais ils encombreraient toujours dmesg et la console, ce n'est donc pas une solution en soi. Cette ligne serait placée comme première règle dans /etc/rsyslog.conf :

...
#### RULES ####

# no audit
:programname, isequal, "audit" ~

...

Cela entraîne maintenant l'avertissement suivant :

 rsyslogd[xxxx]: warning: ~ action is deprecated, consider using the 'stop' statement instead [v8.35.0 try http://www.rsyslog.com/e/2307]

Linux

  1. Comment désactiver SELinux temporairement ou définitivement

  2. Daemontools Multilog perd les informations de temps de ligne de journal. Comment le réparer?

  3. Comment désactiver SELinux sur CentOS ?

  4. Comment changer le chemin du fichier journal auditd /var/log/audit/audit.log

  5. Comment modifier les autorisations par défaut sur le fichier /var/log/audit/audit.log dans CentOS/RHEL

Comment commenter dans Bash

Comment lire un fichier ligne par ligne dans Bash

Comment filtrer les entrées du fichier journal en fonction de la plage de dates

Comment désactiver ETag dans NGINX

Comment filtrer le journal Dmesg pour ne voir que les erreurs ?

Comment tout désactiver dans crontab -l ?