De acordo com este post , infelizmente não parece haver uma maneira de filtrar esse dilúvio de auditorias relacionadas ao cron sem mexer no SElinux.
Muito frustrante.
Estou usando o auditctl e obtenho muitos eventos de registro para o crond. Eu não desejo registrar nenhum evento do cron / crond.
node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=CRED_ACQ msg=audit(1405678921.158:5574): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=LOGIN msg=audit(1405678921.159:5575): login pid=2017 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=102
node=127.0.0.1 type=USER_START msg=audit(1405678921.167:5576): user pid=2017 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
No meu audit.rules eu tenho:
-a exit,never -F path=/usr/sbin/crond
Mas parece que está registrando os eventos de login para root que, em seguida, executa o cron. Não consigo filtrar globalmente USER_START , USER_ACCT etc., pois preciso disso para outros usuários.
Atualização:
Eu acredito no link que a parte do subjogo:
subj=system_u:system_r:crond_t:s0-s0:c0.c1023
Relaciona-se com as opções:
subj_user
Program's SE Linux User
subj_role
Program's SE Linux Role
subj_type
Program's SE Linux Type
subj_sen
Program's SE Linux Sensitivity
subj_clr
Program's SE Linux Clearance
adicionando:
-a exit,never -F subj_role=crond
ou
-a exit,never -F subj_role=crond_
não funcionou, os crons ainda aparecem.
De acordo com este post , infelizmente não parece haver uma maneira de filtrar esse dilúvio de auditorias relacionadas ao cron sem mexer no SElinux.
Muito frustrante.
Eu acredito que é
auditctl -a never,user -F subj_type=crond_t
Funciona, exceto pelo 'type = LOGIN'
Então:
auditctl always,exclude -F msgtype=LOGIN -F subj_type=crond_t
e você está pronto para ir