auditのログを止めてみた


audit log
Fedora 22になって/var/log/messages にauditのログがはき出されるようになりcronが走るたびにログが埋め尽くされるようになってしまいました。
なんとかする方法はないのかと調べたらありました。
Bug 1227379 - Audit events in /var/log/messages

なにやら、journalctlのためにauditのログもmessagesへはき出すような仕様にしたそうですが、強制しないでオンオフ出来るようにしてくれというユーザーとすごい言い争っているようです。もしかして違うかもしれませんが、そんなニュアンスだと思います。

一応、対策としてauditを停止してしまう方法がありました。
まずはauditの設定を確認します。

# auditctl -s
enabled 1
failure 1
pid 366
rate_limit 0
backlog_limit 320
lost 43
backlog 0
backlog_wait_time 60000
loginuid_immutable 0 unlocked

次にauditを無効化します。

# auditctl -e 0
# auditctl -s
enabled 0
failure 1
pid 366
rate_limit 0
backlog_limit 320
lost 43
backlog 0
backlog_wait_time 60000

これで/var/log/messagesへの書き込みどころか/var/log/audit/ への書き込みも停止します。この設定は一時的なので再起動しても反映されるようにします。

# vi /etc/audit/audit.rules
#-D コメントアウト
-e 0 追記
# vi /etc/audit/rules.d/audit.rules
#-D コメントアウト
-e 0 追記

この2つのファイルを修正することでauditのログが消えてすっきりしますが、cronが走るたびに下記のログが流れるのは止まりません。

systemd: Starting Paths.
systemd: Reached target Sockets.
systemd: Starting Sockets.
systemd: Reached target Timers.
systemd: Starting Timers.
systemd: Reached target Basic System.
systemd: Starting Basic System.
systemd: Reached target Default.
systemd: Startup finished in 9ms.
systemd: Starting Default.

これを止めるには/etc/systemd/system.conf のLogLevelをnoticeにするといいそうですがダメでした。systemdの仕様を調べてみるとsyslogの設定に準ずるらしいのでrsyslogの設定を変えてみました。

# vi /etc/rsyslog.conf
#*.info;mail.none;authpriv.none;cron.none /var/log/messages
*.notice;mail.none;authpriv.none;cron.none /var/log/messages

# systemctl restart rsyslog.service

これで余計なログが消えました。
このauditのログはjournalの仕様が確定しないと解決しなさそうです。
なにげにこれでauditを止めてもlogwatchではauditのログが出てきます。これはlogwatchが修正されないとダメなんでしょうね。

近々、Fedora23にして見ようと思います。
こんどはどんなバグが出てくるんだろうなぁ

追記:2015/11/26
logwatchにログが出てませんでした。
設定を変えて数日経ってからlogwatchを実行したらauditログが出てたので勘違いしてました。もう一日待ってから確認すればよかった。

追記: 2016/04/21
/etc/audit/rules.d/audit.rulesも編集しないとauditは完全に無効化出来ませんでした。


コメントを残す