您可以通过添加类似的东西来禁用与 sudo 相关的日志消息

Defaults:juser !syslog

到 sudoers文件。

这将禁用日志记录到系统日志。但是在例如 CentOS/Fedoraauditd下，默认情况下会启用它继续（详细地）通过以下方式记录成功的 sudo 执行/var/log/audit/audit.log. 这意味着一个（成功的）sudo 调用会产生 5 个审计日志条目。

使这些消息静音的一种（可能过于广泛）方法是通过以下auditctl选项禁用对这些消息的审核：

-a exclude,always -F msgtype=USER_START
-a exclude,always -F msgtype=USER_END 
-a exclude,always -F msgtype=USER_CMD
-a exclude,always -F msgtype=CRED_ACQ
-a exclude,always -F msgtype=CRED_DISP

是否有更优雅/细粒度的方法来仅禁用成功的 sudo 调用的审计？

（也许仅适用于某个 sudo 用户？）

我可以

auditctl -a always,exit -S all -F pid=1234

记录所有由 pid 1234 完成的系统调用，并且：

auditctl -a always,exit -S all -F ppid=1234

对于它的孩子，但我如何覆盖孙辈和他们的孩子（现在和未来）？

我不能依赖会改变的 (e)uid/(e)gid。

（请注意，使用strace也不是一种选择）

我正在尝试在 Manjaro Linux 中运行一个名为“Dofus”的游戏。我已经用打包器安装了它，把它放在/opt/ankama文件夹下。该文件夹的所有权（以及其中的每个文件）是 root 用户和游戏组。按照安装包的指示，我已将自己（用户familia）添加到游戏组中（如果不这样做，“每次尝试运行更新程序时我都必须输入密码”）。

但是，在运行游戏时，它在输入我的密码后崩溃（这不应该是必需的）。检查日志，我遇到了一些类似的错误：

[29/08 20:44:07.114]{T001}INFO    c/net/NetworkAccessManager.cpp L87  : Starting request GET http://dl.ak.ankama.com/updates/uc1/projects/dofus2/updates/check.9554275D
[29/08 20:44:07.291]{T001}INFO    c/net/NetworkAccessManager.cpp L313 : Request GET http://dl.ak.ankama.com/updates/uc1/projects/dofus2/updates/check.9554275D Finished (status : 200)
[29/08 20:44:07.292]{T001}ERROR   n/src/update/UpdateProcess.cpp L852 : Can not cache script data

所以，我怀疑 Permission Denied 错误。启动后片刻出现错误信息

这意味着“写入磁盘时发生错误 - 请验证您是否拥有足够的权限和足够的磁盘空间”。

然后，经过一些研究，我遇到了“auditd”，它可以记录文件夹中的文件访问。设置好之后，查看哪些文件访问不成功，就是这个结果。

所有这些错误实际上都指向一个唯一的文件，/opt/ankama/transition/transition，并带有对 ( open)的系统调用。此文件的权限为rwxrwxr-x( 775)。所以，我对它有 rwx 权限，但它给了我一个错误exit -13，这是一个EACESS错误（权限被拒绝）。

我已经尝试重新启动计算机，登录和注销。他们都没有工作。

如果我将文件夹权限设置为familia:games，它就可以毫无问题地运行，我什至不需要输入密码。然而，这种方式似乎不太对。即使我有读/写/执行权限，为什么我会收到 Permission Denied 错误的任何想法？

马克说过我可能需要在路径前缀的所有目录中获得 +x 权限。路径本身是/opt/ankama/transition/transition …

我正在尝试配置在 VirtualBox 中运行的 CentOS 7，以将其审核日志发送到 FreeBSD 10.3 主机。理想情况下，我希望通过 FreeBSD 接收日志，auditdistd(8)但现在我只想能够使用 netcat。

我的问题是 netcat 没有得到任何数据。

细节

1. 当我运行时，service auditd status我得到以下结果：

Redirecting to /bin/systemctl status  auditd.service
auditd.service - Security Auditing Service
   Loaded: loaded (/usr/lib/systemd/system/auditd.service; enabled; vendor preset: enabled)
   Active: active (running) since Fri 2016-08-19 11:35:42 CEST; 3s ago
  Process: 2216 ExecStartPost=/sbin/augenrules --load (code=exited, status=1/FAILURE)
 Main PID: 2215 (auditd)
   CGroup: /system.slice/auditd.service
           ??2215 /sbin/auditd -n
           ??2218 /sbin/audispd

Aug 19 11:35:42 hephaistos audispd[2218]: plugin /sbin/audisp-remote was restarted
Aug 19 11:35:42 hephaistos audispd[2218]: …

Run Code Online (Sandbox Code Playgroud)

我们最近实施了一些审计规则以响应外部安全审计。我的同事提供了一些关于它们的意见，并建议添加-f 2到/etc/audit.rules. 我想不出在测试之外引发内核恐慌的实例。

任何人都可以提出可以保证这一点的真实世界的生产情况吗？

我使用audit在我机构的工作站上记录可疑用户操作。我发现，除了记录到/var/log/audit.log，auditd还写入到/var/log/messages. 因此，非特权用户只需键入dmesg命令即可查看记录的记录。这极大地影响了用户隐私。

我已经尝试过这个和这个，但不是完全删除audit，我希望它仍然登录到/var/log/audit.log.

我也试过这个：写信:programname, isequal, "audit" ~给rsyslog.conf，但它对我不起作用。

有些人还建议添加audit=0到内核​​参数。我不确定它是否会auditd完全禁用。此外，工作站有许多活动用户，不应重新启动。

有人有线索吗？

提前致谢！

操作系统：Debian 测试 auditctl 版本：2.4.5

我知道如何审核/etc/sysconfig/iptablesCentOS/RHEL 6 及更早版本中的文件更改，但如何审核仅对运行配置所做的更改？

auditd 发送日志到/var/logs/messages我们想要禁用它。怎么做？

/etc/audisp/plugins.d/syslog.conf

我已更改active = no但仍向 syslog 发送大量信息

I'm trying to figure out how to log/track when a user gets a Permission denied notice after attempting to access a file. I've read that adding a rule to /etc/audit/audit.rules can accomplish this.

The only suggestion that I've seen mentioned appears to not work as intended. Or, at least, it does not do what I would like. It very well may work the way it is written. The rule is

-a always,exit -F arch=b64 -S open -F success!=0

Actually, the …