Version courte: Comment désactiver les messages d'audit (dmesg) sur un système Fedora?
Un système Fedora conserve la journalisation des messages "audit: succès" dans dmesg - d'une manière si extrême que dmesg est devenu inutilisable car il est rempli par ces messages ( dmesg | grep -v audit
est vide). Ces messages sont complètement inutiles car ils veulent évidemment informer l'utilisateur que certains processus internes quotidiens ont réussi (ce qui pourrait être intéressant lors du débogage de quelque chose, mais ce n'est que du bruit dans ce cas).
Même l'interface de ligne de commande (lors du passage à un tty non X avec Ctrl+ Alt+ F2) est devenue inutilisable car elle est toujours encombrée de ces messages d'audit, il est impossible de lire la sortie des commandes réellement exécutées par l'utilisateur. Par exemple, après avoir entré le nom d'utilisateur (connexion), un message d'audit est généré (indiquant apparemment à l'utilisateur que quelque chose a été formaté / imprimé avec succès):
audit: type = 1131 audit (1446913801.945: 10129): pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'unit = fprintd comm = "systemd" exe = "/ usr / lib / systemd / systemd" hostname =? addr =? terminal =? res = succès '
Il semble que la plupart de ces messages indiquent un «succès», mais il existe également de nombreux messages d'audit qui ne contiennent pas ce mot-clé. L'exécution de Chromium en déclenche des centaines:
audit: type = 1326 audit (1446932349.568: 10307): auid = 500 uid = 500 gid = 500 ses = 2 pid = 1593 comm = "chrome" exe = "/ usr / lib64 / chrome / chrome" sig = 0 arch = c000003e syscall = 273 compat = 0 ip = 0x7f9a1d0a34f4 code = 0x50000
D'autres messages incluent:
audit: type = 1131 audit (1446934361.948: 10327): pid = 1 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'unit = NetworkManager-dispatcher comm = "systemd" exe = "/ usr / lib / systemd / systemd" hostname =? addr =? terminal =? res = succès '
audit: type = 1103 audit (1446926401.821: 10253): pid = 28148 uid = 0 auid = 4294967295 ses = 4294967295 msg = 'op = PAM: setcred grantors = p am_env, pam_unix acct = "user" exe = "/ usr / sbin / crond "hostname =? addr =? terminal = cron res = success '
Généralement, la majorité des messages d'audit récents (au moment de la rédaction) contiennent le mot-clé " NetworkManager " ou " chrome ".
Comment ces messages peuvent-ils être complètement désactivés?
Points supplémentaires:
- Au cas où quelqu'un pourrait penser "vous devriez lire et analyser ces messages d'audit, ne pas les désactiver, ils pourraient être importants", non ils ne sont pas importants, ce sont presque exclusivement des messages de "succès". Personne n'a besoin d'être informé que quelque chose qui est censé fonctionner a en fait fonctionné. Cependant, si un message réellement significatif était enregistré, il ne serait jamais remarqué dans la tempête de milliers de messages insignifiants. Dans tous les cas, aucune journalisation d'audit n'est souhaitée sur ce système particulier (il fonctionne de toute façon dans un environnement contrôlé).
- De toute évidence, quelque chose doit être très mal configuré sur ce système. Cependant, il s'agissait autrefois d'une installation Fedora par défaut qui a été mise à niveau chaque fois qu'une nouvelle version est sortie. Peut-être que c'est juste un paramètre simple qui doit être changé, mais comme il ne s'est pas produit de changer la configuration du système manuellement (exprès), cette question stackexchange.com aidera, espérons-le, ceux qui ont mis leur système dans le même état.
- C'est maintenant un système Fedora 22, exécutant Linux 4.0.6 (systemd 219).
- Il s'agit d'une installation de bureau Fedora standard, exécutant actuellement KDE.
- SELinux est désactivé (/ etc / selinux / config est défini sur "désactivé").
Mise à jour : après la mise à niveau vers Fedora 23 (noyau 4.2.5, systemd 222), il y a moins de messages d'audit qu'auparavant.
audit2allow
, avez-vous envisagé de simplement modifier la valeur kernel.printk qui est pertinente pour l'impression des messages du noyau sur la console? Sur Fedora par défaut, c'est "7 4 1 7", une valeur plus sensible est "3 4 1 7".