कैसे बेकार "ऑडिट सफलता" को निष्क्रिय करने के लिए dmesg में लॉग इन करें

लघु संस्करण: फेडोरा सिस्टम पर ऑडिट संदेशों (dmesg) को कैसे अक्षम करें?

एक फेडोरा प्रणाली dmesg में "ऑडिट: सक्सेस" संदेशों को लॉग इन करती रहती है - इतने चरम तरीके से कि dmesg अनुपयोगी हो गया है क्योंकि यह इन संदेशों द्वारा भरा गया है ( dmesg | grep -v auditखाली है)। ये संदेश पूरी तरह से बेकार हैं क्योंकि वे स्पष्ट रूप से उपयोगकर्ता को सूचित करना चाहते हैं कि कुछ हर दिन की आंतरिक प्रक्रिया सफल हो गई है (जो कुछ डिबगिंग करते समय ब्याज की हो सकती है, लेकिन यह इस मामले में सिर्फ शोर है)।

यहां तक कि कमांड लाइन इंटरफेस (जब साथ एक गैर-एक्स tty का उपयोग करने जा Ctrl+ Alt+ F2अनुपयोगी हो गया है के रूप में यह हमेशा इन लेखा परीक्षा संदेशों से भरा हुआ है), यह आदेश होते हैं जो वास्तव में उपयोगकर्ता द्वारा चलाए जा रहे हैं के उत्पादन में पढ़ने के लिए असंभव है। उदाहरण के लिए, उपयोगकर्ता नाम (लॉगिन) दर्ज करने के बाद, एक ऑडिट संदेश सामने लाया जाता है (स्पष्ट रूप से उपयोगकर्ता को बता रहा है कि कुछ प्रारूपित / सफलतापूर्वक मुद्रित किया गया था):

ऑडिट: टाइप = 1131 ऑडिट (1446913801.945: 10129): pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'यूनिट = fprincom comm = "systemd" exe = "/ usr / lib / systemd / systemd" hostname =? addr =? टर्मिनल =? रेस = सफलता '

ऐसा प्रतीत होता है कि इनमें से अधिकांश संदेश "सफलता" का संकेत देते हैं, हालांकि कई ऑडिट संदेश भी हैं जिनमें यह कीवर्ड नहीं है। क्रोमियम चलाना इनमें से सैकड़ों को चलाता है:

ऑडिट: टाइप = १३२६ ऑडिट (१४४६ ९ ३२३४ ९ .५६30: १०३०:): auid = ५०० uid = ५०० gid = ५०० ses = २ pid = 1593 comm = "chrome" exe = "/ usb / lib64 / क्रोम / sig = ० आर्च = c000003e syscall = 273 कंप्रेशर = 0 ip = 0x7f9a1d0a34f4 कोड = 0x50000

अन्य संदेशों में शामिल हैं:

ऑडिट: टाइप = 1131 ऑडिट (1446934361.948: 10327): pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'Unit = NetworkManager-dispatcher comm = "systemd" exe = "/ usr / lib / systemd / systemd" host book =? addr =? टर्मिनल =? रेस = सफलता '

ऑडिट: टाइप = 1103 ऑडिट (1446926401.821: 10253): pid = 28148 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'op =AM: setcred अनुदानकर्ताओं = p am_env, pam_unix acct = "user" "exe =" / crond "hostname =? addr =? टर्मिनल = क्रोन रेस = सफलता '

आम तौर पर, हाल ही के ऑडिट संदेशों के अधिकांश (लेखन के समय) में " NetworkManager " या " chrome " कीवर्ड होता है ।

इन संदेशों को पूरी तरह से कैसे निष्क्रिय किया जा सकता है?

अतिरिक्त अंक:

• यदि कोई सोच रहा है "आपको इन ऑडिट संदेशों को पढ़ना और विश्लेषण करना चाहिए, उन्हें अक्षम नहीं करना चाहिए, तो वे महत्वपूर्ण हो सकते हैं", नहीं, वे महत्वपूर्ण नहीं हैं, वे लगभग विशेष रूप से "सफलता" संदेश हैं। किसी को यह बताने की जरूरत नहीं है कि जो काम करना है वह वास्तव में काम करना है। हालांकि, यदि वास्तव में एक महत्वपूर्ण संदेश लॉग किया जा रहा था, तो यह हजारों तुच्छ संदेशों के तूफान में कभी नहीं देखा जाएगा। किसी भी मामले में, इस विशेष प्रणाली पर कोई ऑडिट लॉगिंग नहीं चाहता है (यह वैसे भी नियंत्रित वातावरण में चल रहा है)।
• जाहिर है, इस प्रणाली पर कुछ गलत होना चाहिए। हालाँकि, यह एक बार डिफ़ॉल्ट फेडोरा इंस्टॉलेशन था जिसे जब भी कोई नया रिलीज़ किया गया था, अपग्रेड किया गया था। हो सकता है कि यह केवल एक साधारण सेटिंग है जिसे बदलना होगा, लेकिन जैसा कि सिस्टम कॉन्फ़िगरेशन को मैन्युअल रूप से (उद्देश्य पर) बदलते हुए नहीं हुआ, यह stackexchange.com प्रश्न दूसरों को उसी स्थिति में उनके सिस्टम को प्राप्त करने में मदद करेगा।
• यह अब एक Fedora 22 सिस्टम है, जो Linux 4.0.6 (systemd 219) पर चल रहा है।
• यह एक मानक फेडोरा डेस्कटॉप इंस्टॉलेशन है, जो वर्तमान में KDE चल रहा है।
• SELinux अक्षम है (/ etc / selinux / config "अक्षम" पर सेट है)।

अपडेट : फेडोरा 23 (कर्नेल 4.2.5, सिस्टमड 222) में अपग्रेड करने के बाद, पहले की तुलना में कम ऑडिट संदेश हैं।

सबसे पहले, फ़ेडोरा पर, ऑडिट और ऑडिटक्टल दोनों एक ही पैकेज से आते हैं (अपुष्ट रूप से नामित ऑडिट)। इसलिए अगर आपके पास ऑडिट नहीं है, तो कुछ और गलत है। इसे इस्तेमाल करे:

rpm -ql audit |grep ctl

यदि वह आपको कुछ नहीं देता है, तो आपके पास ऑडिट पैकेज नहीं है।

दूसरे, आपके द्वारा उल्लिखित grub.cfg फ़ाइल में पहली "मानव" भाषा लाइन मेरे सिस्टम पर "DO NOT EDIT" कहती है। यह एक सुराग है कि फ़ाइल में कोई भी मैन्युअल परिवर्तन खो सकता है।

फ़ेडोरा / रेडहैट सिस्टम पर ग्रब कॉन्फ़िगर को संपादित करने का सही स्थान वह फ़ाइल है जिसे आपने विशेष रूप से सुझाया है जिसे बदलने के लिए आवश्यक नहीं है (/ etc / default / grub)। वास्तव में, प्रस्तावित परिवर्तन करने और कर्नेल उन्नयन से बचने का यह एकमात्र "सुरक्षित" तरीका है। इसका कारण यह है कि यह कर्नेल उन्नयन के दौरान स्रोत कॉन्फ़िगरेशन के भाग के रूप में उपयोग किया जाता है, एक कार्य grub.cfg को पुन: उत्पन्न करने के लिए। Grub2-mkconfig कमांड देखें (और यह दोस्त है)। विवरण यहाँ हैं: https://fedoraproject.org/wiki/GRUB_2

आपका उत्तर गलत नहीं है, लेकिन मुझे यह थोड़ा उलझा हुआ लगा। मुझे ग्रब कमांड लाइन से नफरत है, और IMHO किसी को भी, जो कर्नेल कमांड लाइन पर एक व्हाट्सएप चार को जोड़ने से चूकने की संभावना है, शायद उस सड़क का नेतृत्व करने के लिए किसी को धन्यवाद नहीं देगा। फिर भी, कुछ लोग मेरे जानने के कठिन तरीके को सीखना पसंद करते हैं।

नीचे दिए गए सभी आदेशों को रूट के रूप में चलाने की आवश्यकता है (जो सुझाव देने के लिए अपने आप में एक खतरनाक चीज है)।

एक चल प्रणाली के लिए:

auditctl -e 0

यदि आप ऑडिट नहीं पाते हैं, तो अपने पेट की जाँच करें और इस पर भी विचार करें:

dnf install audit

यह कम से कम कम करना चाहिए यदि संदेशों को ऐसे समय तक अक्षम न करें जब तक आप रिबूट नहीं कर सकते।

रिबूट से परे बने रहने के लिए, संपादित करें / etc / default / grub और अंत में "ऑडिट = 0" जोड़ने के लिए GRUB_CMDLINE_LINUX लाइन बदलें, फिर grub.cfg को पुनः प्राप्त करने के लिए grub2-mkconfig का उपयोग करें। यह अंतिम चरण आपके परिवर्तन और रनिंग सिस्टम के बीच सत्यापन की एक परत भी रखता है।

आप ऑडिट को अस्थायी रूप से अक्षम कर सकते हैं

sudo auditctl -e 0

और अस्थायी रूप से सभी नियमों को हटा दें

sudo auditctl -D

भविष्य के जूते के लिए आप इसके साथ शुरुआत को अक्षम करने का प्रयास कर सकते हैं

 sudo systemctl disable auditd

कोई ऑडिट सेवा नहीं है जिसे सिस्टम चालू होने के दौरान अक्षम किया जा सकता है, लेकिन यह पता चला है कि बूट विकल्प को जोड़ने audit=0से इन सभी संदेशों को अक्षम किया जा सकता है। X चलाने के बिना कमांड लाइन पर भी सिस्टम फिर से प्रयोग करने योग्य है।

यह विकल्प अस्थायी रूप से सेट किया जा सकता है (परिवर्तन एक रिबूट से नहीं बचेगा):

1. जब ग्रब बूट मेनू दिखाई देता है (पावर चालू करने के बाद), तो बूट पैरामीटर eको ई डिट पर हिट करें । यह एक विशाल टेक्स्ट बॉक्स दिखाएगा।
2. "लाइनक्स" से शुरू होने वाली रेखा तक नीचे स्क्रॉल करें। Endकर्सर को लाइन के अंत तक ले जाने के लिए कुंजी को हिट करें ।
3. एक व्हाट्सएप चरित्र दर्ज करें ताकि आप अंतिम विकल्प को न तोड़ें, फिर संलग्न करें audit=0। उदाहरण के लिए ... LANG=en_US.UTF-8 audit=0( ...UTF-8audit=0स्पष्ट रूप से नहीं )।
4. सावधान रहें कि कुछ और न बदलें। यदि आपने गलती से किसी अन्य विकल्प को संशोधित किया है, तो इसे ठीक करें या रिबूट करें और शुरू करें।
5. F10सिस्टम को बूट करने के लिए मारो ।

बेशक, यह परिवर्तन केवल तभी प्रभावी होगा जब सिस्टम चल रहा हो। ऑडिट बाढ़ रिबूट के बाद वापस आ जाएगी। इस परिवर्तन को स्थायी बनाने के लिए, बूट कॉन्फ़िगरेशन को स्थायी रूप से बदलना होगा। फेडोरा पर, इसे बस संशोधित करने के लिए पर्याप्त होना चाहिए /boot/grub2/grub.cfgक्योंकि जब एक नया कर्नेल स्थापित होता है (सिस्टम अपडेट), तो ग्रबबी को नवीनतम कर्नेल के विकल्पों को नए स्थापित कर्नेल में कॉपी करना चाहिए। इसका मतलब है, इस फ़ाइल में audit=0पहली linuxपंक्ति (प्रथम menuentryखंड) में जोड़ा जाना है । इसे बदलना जरूरी नहीं होना चाहिए/etc/default/grub ।
सुधार: वास्तव में, सही और सबसे विश्वसनीय तरीका /etc/default/grubग्रब कॉन्फिगर को एडिट और रीजनरेट करना है grub2-mkconfig -o /boot/grub2/grub.cfg, धन्यवाद नाइटलेर्डएंडरमास्टर को इस ओर इशारा करने के लिए ।

लॉग फ़ाइलों में ऑडिट लॉग पर अतिरिक्त नोट:

एक साइड नोट के रूप में, निम्न पंक्ति को लॉग फ़ाइलों में ऑडिट लॉग को समाप्त होने से रोकना चाहिए, लेकिन वे अभी भी dmesg और कंसोल को अव्यवस्थित करेंगे, इसलिए यह अपने आप में कोई समाधान नहीं है। इस लाइन को पहले नियम के रूप में रखा जाएगा /etc/rsyslog.conf:

...
#### RULES ####

# no audit
:programname, isequal, "audit" ~

...

यह अब निम्नलिखित चेतावनी में परिणाम देता है:

 rsyslogd[xxxx]: warning: ~ action is deprecated, consider using the 'stop' statement instead [v8.35.0 try http://www.rsyslog.com/e/2307]