저는 "편집됨"이라고 부르는 특정 계정에 대해 많은 조정 트래픽을 발생시키는 시스템을 보유하고 있습니다. 로그에는 해당 계정이 su 명령을 실행하고 있음이 표시됩니다. 나의 첫 번째 반응은 규칙을 확인 etc/audit/rules.d하고 계정과 관련된 모든 규칙을 비활성화 su하고 계정 로깅을 허용하지 않는 규칙을 추가하는 것이었습니다. 나는 아직도 이러한 로그를 받고 있으므로 깨끗한 상태를 얻기 위해 조정 규칙을 제거했습니다. ( auditctl -l No Rules)
여전히 이러한 로그가 표시됩니다. 따라서 제 질문은 이러한 로그가 PAM 모듈에서 나오는 것인지, 그리고 이를 억제할 수 있는 방법이 있느냐는 것입니다.
type=CRED_DISP msg=audit(1652729209.332:1763023): pid=375379 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:unconfined_service_t:s0 msg='op=PAM:setcred grantors=pam_rootok acct="redacted" exe="/usr/bin/su" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
type=USER_AUTH msg=audit(1652729210.442:1763024): pid=375600 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:unconfined_service_t:s0 msg='op=PAM:authentication grantors=pam_rootok acct="redacted" exe="/usr/bin/su" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
type=USER_ACCT msg=audit(1652729210.443:1763025): pid=375600 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:unconfined_service_t:s0 msg='op=PAM:accounting grantors=pam_succeed_if acct="redacted" exe="/usr/bin/su" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
type=CRED_ACQ msg=audit(1652729210.446:1763026): pid=375600 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:unconfined_service_t:s0 msg='op=PAM:setcred grantors=pam_rootok acct="redacted" exe="/usr/bin/su" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
type=USER_START msg=audit(1652729210.462:1763027): pid=375600 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:unconfined_service_t:s0 msg='op=PAM:session_open grantors=pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_lastlog,pam_umask,pam_xauth acct="redacted" exe="/usr/bin/su" hostname=? addr=? terminal=? res=success'UID="root" AUID="unset"
답변1
유형별로 메시지를 억제하는 규칙을 추가하여 이러한 출력을 억제할 수 있었습니다. 예를 들어-a never,exclude -F msgtype=USER_AUTH