Я использую auditctl и получаю много журналов событий для crond. Я не хочу регистрировать какие-либо события cron / crond.
node=127.0.0.1 type=CRED_DISP msg=audit(1405678801.149:5571): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_END msg=audit(1405678801.150:5572): user pid=1757 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=USER_ACCT msg=audit(1405678921.158:5573): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: accounting acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=CRED_ACQ msg=audit(1405678921.158:5574): user pid=2017 uid=0 auid=4294967295 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: setcred acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
node=127.0.0.1 type=LOGIN msg=audit(1405678921.159:5575): login pid=2017 uid=0 old auid=4294967295 new auid=0 old ses=4294967295 new ses=102
node=127.0.0.1 type=USER_START msg=audit(1405678921.167:5576): user pid=2017 uid=0 auid=0 subj=system_u:system_r:crond_t:s0-s0:c0.c1023 msg='PAM: session open acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
В моем audit.rules У меня есть:
-a exit,never -F path=/usr/sbin/crond
Но похоже, что он регистрирует события входа в систему для root, который затем выполняет cron. Я не могу отфильтровать глобально USER_START , USER_ACCT и т.д., поскольку они мне нужны для других пользователей.
Обновить:
Я верю из http://linux.die.net/man/8/auditctl что часть subj:
subj=system_u:system_r:crond_t:s0-s0:c0.c1023
Относится к вариантам:
subj_user
Program's SE Linux User
subj_role
Program's SE Linux Role
subj_type
Program's SE Linux Type
subj_sen
Program's SE Linux Sensitivity
subj_clr
Program's SE Linux Clearance
добавление:
-a exit,never -F subj_role=crond
или
-a exit,never -F subj_role=crond_
не получилось, кроны все равно появляются.
Я верю это auditctl -a never,user -F subj_type=crond_t
Работает, кроме 'type = LOGIN'
Затем: auditctl always,exclude -F msgtype=LOGIN -F subj_type=crond_t
и тебе хорошо идти
В соответствии с эта почтаК сожалению, похоже, что нет способа отфильтровать этот поток аудитов, связанных с cron, без возни с SElinux.
Очень неприятно.
Если вы поместите оба этих элемента в свой /etc/audit/rules.d/*.rules, желательно где-нибудь в верхней части файла:
-a never,user -F subj_type=crond_t
-a exit,never -F subj_type=crond_t