Como excluir mensagens auditd do dmesg e apenas registrá-las em /var/log/audit.log

Navegue suas respostas
5

Eu uso audit para registrar ações de usuários suspeitos em uma estação de trabalho em minha instituição. Descobri que, além de fazer login em /var/log/audit.log , auditd também grava em /var/log/messages . Conseqüentemente, usuários sem privilégios podem visualizar o registro registrado simplesmente digitando o comando dmesg . Isso afeta muito a privacidade do usuário.

Eu tentei isso e este , mas em vez de remover completamente audit , eu quero ainda logar em /var/log/audit.log .

Eu também tentei isso : escrever :programname, isequal, "audit" ~ to rsyslog.conf , mas não funcionou para mim.

Alguns também sugerem a adição de audit=0 ao parâmetro do kernel. Não tenho certeza se desabilitará auditd completamente. Além disso, as estações de trabalho têm muitos usuários ativos e não devem ser reinicializadas.

Alguém tem uma pista?

Obrigado antecipadamente!

SO: Teste Debian versão auditctl: 2.4.5

    
por Yun-Chih Chen 18.01.2016 / 09:56

1 resposta

0

O registro no / var / log / messages ocorre ao mesmo tempo que / var / log / messages. audit = 0 desativará todos os períodos de registros de auditoria. Isso não deve parar o período de auditoria. Considere usar auditctl -e 0 também.

Os registros de auditoria exibidos não são realmente uma "preocupação com privacidade", porque, se um usuário realmente quisesse saber o que estava acontecendo, precisaria de ausearch e outros comandos au* para visualizar o conteúdo do registro. logs / relatórios à medida que surgem (dica, eles precisam de root). Os logs de auditoria mostrarão o comando executado entre outras coisas, mas nada além disso (switches, outros arquivos, etc).

Como nota lateral, há também o comando ps . Qualquer usuário pode ver o que outro usuário está executando de qualquer maneira.

    
por 18.01.2016 / 10:56

Tags

Use as mesmas cores na guia bash completa e ls [duplicata] Relógio de cpu do acelerador FreeBSD em alta temperatura