Fail2banを監視するために監視エージェント(telegraf
)を使用しています。残念ながら、実行するにはスーパーユーザー権限が必要です。fail2ban-client
その結果、10秒ごとに24個のsyslogメッセージが生成されます。計算してみると、私のsyslogは完全にめちゃくちゃです。
可能であれば、telegrafによってのみ発生する次のメッセージをシステムログから抑制したいと思います。
sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
sudo: pam_unix(sudo:session): session closed for user root
/etc/pam.d/sudo
私はこれらのメッセージを抑制するためにカスタム「ルール」を試しましたが、成功しませんでした。
# cat /etc/pam.d/sudo
#%PAM-1.0
session required pam_env.so readenv=1 user_readenv=0
session required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
session [default=ignore] pam_succeed_if.so quiet uid = 0 user = root ruser = telegraf
@include common-session-noninteractive
で始まる行だけがsession
ファイルに追加されます。このソリューションは特定のユーザーのauth.logでsudo PAMメッセージをどのように停止しますか?
ただし、ログメッセージはまだ表示されます/var/log/auth.log
。journalctl -xe
私はこれをフラグ(にある)quiet_success
と同じように試しました。また、makefail toexecuteを使用すると、インタラクティブなttyが必要なためです。quiet
man pam_succeed_if
success=1
telegraf
fail2ban-client
これはdebug
フラグを使用して文書化されます。
Sep 20 11:34:51 host sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Sep 20 11:34:51 host sudo: pam_succeed_if(sudo:session): 'uid' resolves to '0'
Sep 20 11:34:51 host sudo: pam_succeed_if(sudo:session): 'user' resolves to 'root'
Sep 20 11:34:51 host sudo: pam_succeed_if(sudo:session): 'ruser' resolves to 'telegraf'
Sep 20 11:34:51 host sudo: pam_unix(sudo:session): session closed for user root
私が知る限り、「ルール」はuid、user、およびruserと正しく一致しますが、ログメッセージを表示しません。再起動を逃したか、何が起こりましたか?
答え1
私は次の設定を使用するように管理しました(/etc/pam.d/sudo
)
#%PAM-1.0
session [success=done default=ignore] pam_succeed_if.so quiet uid = 0 user = root ruser = telegraf
session required pam_env.so readenv=1 user_readenv=0
session required pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
@include common-session-noninteractive
正直なところ、何が問題なのかはわかりませんが、順序が重要かもしれないと思います。この情報の使用に伴うすべての責任は本人にあります。私が何をしているのかはわかりませんが...私のシステムログは今はるかにきれいに見えます。 :)
(誰か状況を説明していただきありがとうございます)