特定のユーザーのPAMログメッセージを省略する方法(pam_succeed_if Quiet)

特定のユーザーのPAMログメッセージを省略する方法(pam_succeed_if Quiet)

Fail2banを監視するために監視エージェント(telegraf)を使用しています。残念ながら、実行するにはスーパーユーザー権限が必要です。fail2ban-clientその結果、10秒ごとに24個のsyslogメッセージが生成されます。計算してみると、私のsyslogは完全にめちゃくちゃです。

可能であれば、telegrafによってのみ発生する次のメッセージをシステムログから抑制したいと思います。

sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
sudo: pam_unix(sudo:session): session closed for user root

/etc/pam.d/sudo私はこれらのメッセージを抑制するためにカスタム「ルール」を試しましたが、成功しませんでした。

# cat /etc/pam.d/sudo
#%PAM-1.0

session    required   pam_env.so readenv=1 user_readenv=0
session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
session [default=ignore] pam_succeed_if.so quiet uid = 0 user = root ruser = telegraf
@include common-session-noninteractive

で始まる行だけがsessionファイルに追加されます。このソリューションは特定のユーザーのauth.logでsudo PAMメッセージをどのように停止しますか?

ただし、ログメッセージはまだ表示されます/var/log/auth.logjournalctl -xe

私はこれをフラグ(にある)quiet_successと同じように試しました。また、makefail toexecuteを使用すると、インタラクティブなttyが必要なためです。quietman pam_succeed_ifsuccess=1telegraffail2ban-client

これはdebugフラグを使用して文書化されます。

Sep 20 11:34:51 host sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Sep 20 11:34:51 host sudo: pam_succeed_if(sudo:session): 'uid' resolves to '0'
Sep 20 11:34:51 host sudo: pam_succeed_if(sudo:session): 'user' resolves to 'root'
Sep 20 11:34:51 host sudo: pam_succeed_if(sudo:session): 'ruser' resolves to 'telegraf'
Sep 20 11:34:51 host sudo: pam_unix(sudo:session): session closed for user root

私が知る限り、「ルール」はuid、user、およびruserと正しく一致しますが、ログメッセージを表示しません。再起動を逃したか、何が起こりましたか?

答え1

私は次の設定を使用するように管理しました(/etc/pam.d/sudo

#%PAM-1.0

session [success=done default=ignore] pam_succeed_if.so quiet uid = 0 user = root ruser = telegraf
session    required   pam_env.so readenv=1 user_readenv=0
session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
@include common-session-noninteractive

正直なところ、何が問題なのかはわかりませんが、順序が重要かもしれないと思います。この情報の使用に伴うすべての責任は本人にあります。私が何をしているのかはわかりませんが...私のシステムログは今はるかにきれいに見えます。 :)

(誰か状況を説明していただきありがとうございます)

関連情報