Como suprimir pam_unix (sshd: session): sessão fechada para usuário

Navegue suas respostas
2

Eu tenho um host Ubuntu (14.x) que serve como uma caixa de repositório Git (via GitLab CE). Cerca de 50 usuários estão usando o usuário compartilhado (neste caso, gitlab ) para se conectar à caixa para sincronizar seus repositórios. Esse método funciona muito bem, mas, infelizmente, ele explora totalmente meu /var/log/auth.log , que facilmente aumenta para 10 GB por dia com linhas como esta: 

Apr 22 14:10:25 gitlab sshd[7434]: pam_unix(sshd:session): session opened for user git by (uid=227)
Apr 22 14:10:25 gitlab sshd[7435]: pam_unix(sshd:session): session closed for user gitlab

Existe um método para suprimir essas mensagens para este usuário e parar de inundar meu arquivo de log?

    
por Robert Heine 22.04.2015 / 14:15

1 resposta

5

Você pode configurar o rsyslogd para descartar mensagens mencionando o usuário gitlab . Crie um arquivo em /etc/rsyslog.d/ (digamos, 10-filter-git.conf ), contendo: 

if $syslogfacility-text startswith 'auth' and $msg contains 'gitlab' and  not ($msg contains 'failure') then ~

Este é um filtro baseado em expressão que:

  • corresponde mensagens provenientes de instalações cujo nome começa com auth . Normalmente, as entradas em auth.log são das instalações auth e authpriv .
  • corresponde a mensagens que contêm gitlab - use seu nome de usuário aqui.
  • corresponde as mensagens que não contêm failure - suponho que você ainda queira ficar de olho nas falhas de autenticação.
  • ~ descarta as mensagens enviadas para ele.

Em seguida, reinicie rsyslogd : 

service rsyslog restart

Agora as mensagens normais sobre o usuário gitlab não devem aparecer em auth.log .

    
por muru 22.04.2015 / 14:59
Alias não funciona no Apache2.4 Criando um ícone do Unity Launcher para PyCharm [duplicado]