Phiên bản ngắn: Làm cách nào để tắt thông báo kiểm toán (dmesg) trên hệ thống Fedora?
Một hệ thống Fedora tiếp tục ghi nhật ký các thông báo "kiểm toán: thành công" trong dmesg - theo cách cực đoan đến mức dmesg trở nên không sử dụng được vì nó được lấp đầy bởi các tin nhắn này ( dmesg | grep -v audit
trống). Các tin nhắn này hoàn toàn vô dụng vì rõ ràng chúng muốn thông báo cho người dùng rằng một số quy trình nội bộ hàng ngày đã thành công (có thể được quan tâm khi gỡ lỗi một cái gì đó, nhưng nó chỉ là tiếng ồn trong trường hợp này).
Ngay cả giao diện dòng lệnh (khi chuyển sang tty không X với Ctrl+ Alt+ F2) cũng trở nên không sử dụng được vì nó luôn bị lộn xộn với các thông báo kiểm toán này, không thể đọc đầu ra của các lệnh thực sự được chạy bởi người dùng. Ví dụ: sau khi nhập tên người dùng (đăng nhập), một thông báo kiểm toán được phun ra (dường như nói với người dùng rằng một cái gì đó đã được định dạng / in thành công):
Audit thêm =? thiết bị đầu cuối =? res = thành công '
Dường như hầu hết các thông báo này cho biết "thành công", tuy nhiên cũng có nhiều thông báo kiểm toán không chứa từ khóa này. Chạy Chromium kích hoạt hàng trăm trong số này:
kiểm toán: loại = 1326 kiểm toán (1446932349.568: 10307): auid = 500 uid = 500 gid = 500 ses = 2 pid = 1593 comm = "chrome" exe = "/ usr / lib64 / chromium / chrome" sig = 0 arch = c000003e syscall = 273 compat = 0 ip = 0x7f9a1d0a34f4 mã = 0x50000
Các tin nhắn khác bao gồm:
Kiểm toán: loại = 1131 kiểm toán (1446934361.948: 10327): pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 dir = 'unit = NetworkManager-distatcher comm = "systemd" exe = "/ usr / lib / systemd =? thêm =? thiết bị đầu cuối =? res = thành công '
Audit: type = 1103 audi / crond "tên máy chủ =? thêm =? thiết bị đầu cuối = cron res = thành công '
Nói chung, phần lớn các thông báo kiểm toán gần đây (tại thời điểm viết) có chứa từ khóa " NetworkManager " hoặc " chrome ".
Làm thế nào những tin nhắn này có thể bị vô hiệu hóa hoàn toàn?
Điểm bổ sung:
- Trong trường hợp bất kỳ ai cũng có thể nghĩ rằng "bạn nên đọc và phân tích các thông điệp kiểm toán này, không vô hiệu hóa chúng, chúng có thể quan trọng", không, chúng không quan trọng, chúng gần như chỉ là những thông điệp "thành công". Không ai cần phải nói rằng một cái gì đó được cho là làm việc trong thực tế hoạt động. Tuy nhiên, nếu một tin nhắn thực sự quan trọng được ghi lại, nó sẽ không bao giờ được chú ý trong cơn bão hàng ngàn tin nhắn không đáng kể. Trong mọi trường hợp, không muốn ghi nhật ký kiểm toán trên hệ thống cụ thể này (dù sao nó cũng chạy trong môi trường được kiểm soát).
- Rõ ràng, một cái gì đó phải được cấu hình rất sai trên hệ thống này. Tuy nhiên, nó đã từng là một bản cài đặt Fedora mặc định đã được nâng cấp mỗi khi bản phát hành mới ra mắt. Có thể đó chỉ là một cài đặt đơn giản phải thay đổi, nhưng vì nó không xảy ra thay đổi cấu hình hệ thống theo cách thủ công (mục đích), câu hỏi stackexchange.com này hy vọng sẽ giúp những người khác có được hệ thống của họ ở trạng thái tương tự.
- Giờ đây nó là một hệ thống Fedora 22, chạy Linux 4.0.6 (systemd 219).
- Đây là bản cài đặt máy tính để bàn Fedora tiêu chuẩn, hiện đang chạy KDE.
- SELinux bị tắt (/ etc / selinux / config được đặt thành "bị vô hiệu hóa").
Cập nhật : Sau khi nâng cấp lên Fedora 23 (kernel 4.2.5, systemd 222), có ít thông báo kiểm toán hơn trước.
audit2allow
, bạn đã xem xét việc sửa đổi giá trị kernel.printk có liên quan đến việc in thông điệp kernel vào bảng điều khiển chưa? Trên Fedora theo mặc định là "7 4 1 7", giá trị hợp lý hơn là "3 4 1 7".