Auditctl – filtrage des messages cron

J'utilise auditctl et obtenez beaucoup d'events de journalisation pour Crond. Je ne souhaite pas save d'events cron / crond.

node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=CRED_ACQ msg=audit(1405678921.158:5574): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' node=127.0.0.1 type=LOGIN msg=audit(1405678921.159:5575): login pid=2017 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=102 node=127.0.0.1 type=USER_START msg=audit(1405678921.167:5576): user pid=2017 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)' 

Dans mon audit.rules j'ai:

  -a exit,never -F path=/usr/sbin/crond 

Mais il semble que c'est l'logging des events de connection pour la racine qui exécute ensuite le cron. Je ne peux pas filterr USER_START , USER_ACCT etc., car j'ai besoin de ceux-ci pour d'autres users.

Mettre à jour:

Je crois en http://linux.die.net/man/8/auditctl que la partie subj:

 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 

Se rapporte aux options:

 subj_user Program's SE Linux User subj_role Program's SE Linux Role subj_type Program's SE Linux Type subj_sen Program's SE Linux Sensitivity subj_clr Program's SE Linux Clearance 

append:

 -a exit,never -F subj_role=crond 

ou

 -a exit,never -F subj_role=crond_ 

n'a pas fonctionné, les crons apparaissent encore.

2 Solutions collect form web for “Auditctl – filtrage des messages cron”

Selon cette publication , malheureusement, il ne semble pas y avoir de moyen de filterr ce déluge des audits liés à Cron sans se faire entendre avec SElinux.

Très frustrant.

Je crois que c'est auditctl -a never,user -F subj_type=crond_t

Il fonctionne à l'exception du 'type = LOGIN'

Ensuite: auditctl always,exclude -F msgtype=LOGIN -F subj_type=crond_t

et vous allez bien

  • Des keys ssh sans mot de passe sur un maître de marionnettes?
  • Quelles sont les règles iptables minimales pour surfer sur Internet?
  • Est-ce que cela nuira à ma security si j'autorise toutes les connections depuis localhost via iptables?
  • SIGTERM Apache fréquent
  • Est-il acceptable d'append des users au groupe 'apache'?
  • Meraki Z1: protection des périphériques d'entreprise à partir de périphériques personnels
  • Question de security de la stack LAMP - téléchargement de files sur le server
  • Existe-t-il une application pour gérer des groupes et des membres sur Linux?
  • Configuration de sharepoint avec authentification kerberos
  • wildcard ssl cert. donner une erreur dans IE
  • Comment suivre les activités des super-users
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.