dmesg preenchido com auditorias a cada minuto do cron

Navegue suas respostas
2

Meu dmesg é preenchido com uma saída como a seguinte, a partir de alguns segundos após o estande e continuando indefinidamente: 

[ 3155.216230] type=1006 audit(1393236841.859:85): pid=4206 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=84 res=1
[ 3214.742935] type=1006 audit(1393236901.406:86): pid=4227 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=85 res=1
[ 3274.960017] type=1006 audit(1393236961.646:87): pid=4245 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=86 res=1
[ 3335.143342] type=1006 audit(1393237021.853:88): pid=4266 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=87 res=1
[ 3394.290920] type=1006 audit(1393237081.024:89): pid=4325 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=88 res=1
[ 3454.269891] type=1006 audit(1393237141.024:90): pid=4344 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=89 res=1
[ 3514.802667] type=1006 audit(1393237201.575:91): pid=4424 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=90 res=1
[ 3574.320552] type=1006 audit(1393237261.119:92): pid=4441 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=91 res=1
[ 3634.364982] type=1006 audit(1393237321.187:93): pid=4498 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=92 res=1
[ 3694.503761] type=1006 audit(1393237381.347:94): pid=4559 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=93 res=1

Isso é causado em parte pelo cron. Se a raiz crontab incluir * * * * * echo test , as auditorias aparecerão uma vez por minuto. Se estiver vazio, nenhuma auditoria será exibida.

Por que isso acontece? Como posso pará-lo?

Editar : estou executando um Arch Linux atualizado. Tentando encontrar o processo que causa as auditorias: 

$ systemctl -a | grep audit -i
auditd.service     not-found inactive dead      auditd.service
    
por Anna 24.02.2014 / 10:26

3 respostas

2

Estes são causados devido a negações de permissão do SELinux registradas pelo serviço de auditoria. Seu usuário provavelmente precisa de permissão especial do SELinux para executar o cron.

Ou, se o cron é executado com sucesso, o SELinux é definido como permissivo e somente o imprime como informação. Em sistemas com o SELinux, a opção é configurada em / etc / selinux / config: 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
#       targeted - Targeted processes are protected,
#       mls - Multi Level Security protection.
SELINUXTYPE=targeted

Depois que você disse que não é SELinux como você não tem instalado, eu encontrei isso:

As mensagens de auditoria estão relacionadas ao retrabalho do subsistema de auditoria no linux 3.13 (e possivelmente 3.12.9). Eles certamente não indicam uma ruptura. Eu não sei como desativá-los atualmente (OTOH, mais informações não podem machucar). A única desvantagem é que existem gravações frequentes em disco que podem usar SSDs. Então, aqui está uma modificação no syslog-ng.conf para fazer o syslog colocar essas mensagens na memória: 

destination d_audit { file("/tmp/log/kernel-audit.log"); };
filter f_kernel { facility(kern) and not filter(f_iptables) and not filter(f_audit); };
filter f_audit { match("type=" value("MESSAGE")) and match("audit" value("MESSAGE")) and      match("uid=" value("MESSAGE")); };
log { source(src); filter(f_audit); destination(d_audit); };

Claro, isso pressupõe que / tmp / log exista antes do início do syslog-ng. Aqueles que usam apenas journald ... estão sem sorte sorrir.

Eu acho que você deve tentar seguir o link para ver se algo aparece por lá. Tenha certeza, parece ser seguro ignorar.

Como também estou executando o archlinux, verifiquei meu dmesg, mas não tenho essas mensagens. Eu poderia tentar sugerir a remoção do pacote de auditoria se você não precisar dele (eu não o tenho nem sei se é um propósito, mas também não recebo essas mensagens). 

pacman -R audit
    
por 24.02.2014 / 21:45
0

Tente adicionar audit=0 na linha do kernel.

Este é um presente systemd , limitação conhecida do código de auditoria no kernel e está sendo acompanhado aqui.

Precisa ser corrigido no kernel.

Referência de Lennart Poettering

    
por 16.09.2015 / 11:29
-1

O código não é executado normalmente dentro de um cron. Crie um arquivo echo.cron , defina o modo para 0500 e use-o no seu crontab: 

* * * * * echo.cron
    
por 07.04.2015 / 21:01

Tags

Como melhorar a qualidade da entrada do microfone Mover / var para partição diferente