5月 192017
 

audit审计系统中,一些事件的记录是被硬编码于其中的,比如登入/出,鉴权,系统异常,登录用户数,和SELinux探测到的AVC事件;
简单说,PAM和用户登录被audit硬编码,PAM会发送信息给auditd,auditd来写入日志。
将如下规则条目加入audit.rules的底部,可以使auditd不再记录鉴权相关信息:

   -a exclude,never -F msgtype=CONFIG_CHANGE
   -a exclude,never -F msgtype=CRYPTO_KEY_USER
   -a exclude,never -F msgtype=CRYPTO_SESSION
   -a exclude,never -F msgtype=USER_AUTH
   -a exclude,never -F msgtype=USER_ACCT
   -a exclude,never -F msgtype=CRED_ACQ
   -a exclude,never -F msgtype=LOGIN
   -a exclude,never -F msgtype=USER_ROLE_CHANGE
   -a exclude,never -F msgtype=USER_START
   -a exclude,never -F msgtype=USER_LOGIN
   -a exclude,never -F msgtype=USER_LOGOUT
   -a exclude,never -F msgtype=USER_END
   -a exclude,never -F msgtype=CRED_DISP
 Posted by at 下午7:2525 views

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)