无论我制定了什么规则,我似乎都找不到过滤来自 auditd 的 cron 消息的方法。我正在使用 Ubuntu 18.04.3 LTS。
例如,即使我的/etc/audit/audit.rules
不包含任何规则:
-D
-b 8192
-f 1
--backlog_wait_time 60000
--loginuid-immutable
-c
-i
或者,如果我尝试使用例如过滤 cron 消息(取自各种示例,但均不起作用):
-a never,exit -F auid=0 -F exe=/usr/sbin/cron
-a never,exit -F auid=unset -F exe=/usr/sbin/cron
-a never,user -F subj_type=cron
-a never,user -F subj_type=crond_t
-a never,exit -F subj_type=crond_t
以下审计消息总是每隔一分钟左右记录一次/var/log/audit/audit.log
:
type=USER_ACCT msg=audit(1576717621.342:13600): pid=12873 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:accounting acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_ACQ msg=audit(1576717621.342:13601): pid=12873 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=LOGIN msg=audit(1576717621.342:13602): pid=12873 uid=0 old-auid=4294967295 auid=0 tty=(none) old-ses=4294967295 ses=2004 res=1
type=USER_START msg=audit(1576717621.342:13603): pid=12873 uid=0 auid=0 ses=2004 msg='op=PAM:session_open acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=CRED_DISP msg=audit(1576717621.354:13604): pid=12873 uid=0 auid=0 ses=2004 msg='op=PAM:setcred acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
type=USER_END msg=audit(1576717621.354:13605): pid=12873 uid=0 auid=0 ses=2004 msg='op=PAM:session_close acct="root" exe="/usr/sbin/cron" hostname=? addr=? terminal=cron res=success'
我该如何禁用或过滤掉这些审计消息?
答案1
看https://lists.fedoraproject.org/pipermail/users/2015-July/463114.html(作者:大卫·A·德·格拉夫)
简而言之,一些这些可能会做你想做的事:
-a exclude,always -F msgtype=MAC_IPSEC_EVENT
-a exclude,always -F msgtype=USER_AUTH
-a exclude,always -F msgtype=USER_ACCT
-a exclude,always -F msgtype=CRED_REFR
-a exclude,always -F msgtype=CRED_DISP
-a exclude,always -F msgtype=CRED_ACQ
-a exclude,always -F msgtype=USER_START
-a exclude,always -F msgtype=USER_END
-a exclude,always -F msgtype=SERVICE_START
答案2
以下规则解决了我的 CentOS 7 系统上的这个问题:
-a never,user -F subj_type=crond_t
请注意,必须启用 SELinux 才能使此规则发挥作用。