您可以通过添加类似内容来禁用 sudo 相关日志消息
Defaults:juser !syslog
到sudoers文件。
这将禁用记录到系统日志。但在例如 CentOS/Fedora 下,默认情况下会启用一个auditd功能,它会继续(详细地)通过 .log 记录成功的 sudo 执行/var/log/audit/audit.log。这意味着一次(成功的)sudo 调用会产生 5 个auditd 日志条目。
auditctl沉默这些消息的一种(可能太广泛)方法是通过以下选项禁用对这些消息的审核:
-a exclude,always -F msgtype=USER_START
-a exclude,always -F msgtype=USER_END
-a exclude,always -F msgtype=USER_CMD
-a exclude,always -F msgtype=CRED_ACQ
-a exclude,always -F msgtype=CRED_DISP
是否有更优雅/细粒度的方法来仅禁用对成功 sudo 调用的审核?
(也许只适用于某个 sudo 用户?)
答案1
我在 CentOS 7 上查到了这个。
根据man auditctl你可以检查尤伊德过滤出针对用户的更具体信息尤瑟尔。
答案2
检查您当前的规则并根据需要禁用。
sudo auditctl -l