Коротка версія: Як відключити повідомлення аудиту (dmesg) у системі Fedora?
Система Fedora зберігає в журналі dmesg повідомлення "аудит: успіх" - таким екстремальним способом, що dmesg став непридатним, оскільки він заповнений цими повідомленнями ( dmesg | grep -v audit
порожній). Ці повідомлення є абсолютно марними, оскільки вони, очевидно, хочуть повідомити користувача про те, що якийсь внутрішній процес кожного дня досягнуто успіху (що може викликати інтерес при налагодженні чогось, але в цьому випадку це просто шум).
Навіть інтерфейс командного рядка (при переключенні на не-X tty за допомогою Ctrl+ Alt+ F2) став непридатним, оскільки він завжди захаращений цими повідомленнями аудиту, неможливо прочитати вихід команд, які фактично виконуються користувачем. Наприклад, після введення імені користувача (логін) виводиться повідомлення аудиту (очевидно, що повідомляє користувачеві, що щось було відформатовано / надруковано успішно):
аудит: type = 1131 аудит (1446913801.945: 10129): pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'unit = fprintd comm = "systemd" exe = "/ usr / lib / systemd / systemd" ім'я хоста =? addr =? термінал =? res = успіх "
Схоже, більшість цих повідомлень вказують на "успіх", проте є також багато аудиторських повідомлень, які не містять цього ключового слова. Запуск Chromium запускає сотні таких:
аудит: type = 1326 аудит (1446932349.568: 10307): auid = 500 uid = 500 gid = 500 ses = 2 pid = 1593 comm = "chrome" exe = "/ usr / lib64 / chrome / chrome" sig = 0 arch = c000003e syscall = 273 compat = 0 ip = 0x7f9a1d0a34f4 код = 0x50000
Інші повідомлення включають:
аудит: type = 1131 аудит (1446934361.948: 10327): pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'unit = NetworkManager-диспетчер comm = "systemd" exe = "/ usr / lib / systemd / systemd" ім'я хоста =? addr =? термінал =? res = успіх "
аудит: type = 1103 аудит (1446926401.821: 10253): pid = 28148 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'op = PAM: setcred grantors = p am_env, pam_unix acct = "користувач" exe = "/ usr / sbin / crond "ім'я хоста =? addr =? термінал = cron res = успіх '
Як правило, більшість останніх аудиторських повідомлень (на момент написання) містять ключове слово " NetworkManager " або " chrome ".
Як ці повідомлення можна повністю відключити?
Додаткові бали:
- У випадку, якщо хтось може подумати, "ви повинні прочитати та проаналізувати ці аудиторські повідомлення, а не відключити їх, вони можуть бути важливими", ні вони не важливі, вони майже виключно "успішні" повідомлення. Нікому не потрібно говорити, що щось, що повинно працювати, насправді спрацювало. Однак, якби було записано одне фактично значуще повідомлення, його ніколи не помітять у штормі тисяч незначних повідомлень. У будь-якому випадку, в цій конкретній системі не потрібно вести журнал аудиту (він все одно працює в контрольованому середовищі).
- Зрозуміло, що в цій системі щось має бути неправильно налаштоване. Однак колись це була установка Fedora за замовчуванням, яка оновлювалася кожного разу, коли виходила нова версія. Можливо, це просто просте налаштування, яке потрібно змінити, але оскільки цього не сталося, змінивши конфігурацію системи вручну (спеціально), це питання stackexchange.com, сподіваємось, допоможе іншим, хто випадково потрапив у свою систему в тому ж стані.
- Зараз це система Fedora 22, на якій працює Linux 4.0.6 (systemd 219).
- Це стандартна настільна установка Fedora, на даний момент працює KDE.
- SELinux вимкнено (/ etc / selinux / config встановлено на "відключено").
Оновлення : Після оновлення до Fedora 23 (ядро 4.2.5, systemd 222) є менше аудиторських повідомлень, ніж раніше.
audit2allow
, чи не розглядали ви просто змінити значення kernel.printk, яке стосується друку повідомлень ядра на консоль? У Fedora за замовчуванням це "7 4 1 7", більш розумне значення - "3 4 1 7".