如何从 dmesg 中排除auditd消息并仅将它们记录在/var/log/audit.log中

如何从 dmesg 中排除auditd消息并仅将它们记录在/var/log/audit.log中

我经常audit在我所在机构的工作站上记录可疑的用户操作。我发现,除了记录到 之外/var/log/audit.logauditd还写入到/var/log/messages.因此,非特权用户只需键入命令即可查看记录的记录dmesg。这极大地影响了用户的隐私。

我试过了,但我不想完全删除audit,而是希望它仍然登录到/var/log/audit.log.

我也尝试过: 写信:programname, isequal, "audit" ~rsyslog.conf,但它对我不起作用。

有些还建议添加audit=0到内核参数。我不确定它是否会auditd完全禁用。此外,工作站有许多活动用户,不应重新启动。

有人知道吗?

提前致谢!

操作系统:Debian 测试auditctl版本:2.4.5

答案1

记录到 /var/log/messages 确实与 /var/log/messages 同时发生。 audit=0 将禁用所有审核日志期间。但这不应该停止审核期。也考虑使用auditctl -e 0

显示的审核日志并不是真正的“隐私问题”,因为如果用户真的想知道发生了什么,他们需要使用ausearch其他au*命令来查看日志/报告的内容(提示,他们需要根)。审核日志将显示执行的命令以及其他内容,但除此之外什么也没有(开关、其他文件等)。

附带说明一下,还有ps命令。无论如何,任何用户都可以看到其他用户正在运行的内容。

相关内容